Kraken atingido por extorsão após hackers explorarem bug de US$ 3 milhões

Por

Oi galera, prontos para mergulhar no mundo louco das notícias de cripto? Junte-se ao nosso canal do Telegram onde deciframos os mistérios da blockchain e rimos das mudanças de humor imprevisíveis do Bitcoin. É como uma novela, mas com mais drama descentralizado! Não fique de fora, venha com a gente agora e vamos aproveitar a montanha-russa das criptos juntos! 💰🎢

Junte-se ao Telegram

Como pesquisador com vasta experiência na área de segurança cibernética, considero o recente incidente envolvendo Kraken e os pesquisadores de segurança que supostamente cruzaram a linha da extorsão como preocupante e decepcionante. É desanimador quando indivíduos que deveriam agir de forma ética e responsável na busca de descobrir vulnerabilidades exploram essas fraquezas para ganho pessoal, causando danos a partes inocentes.

Recentemente, a exchange de criptomoedas Kraken encontrou um problema complexo quando certos autoproclamados pesquisadores de segurança foram acusados ​​de ultrapassar os limites aceitáveis ​​e se envolver em tentativas de extorsão. O Diretor de Segurança da Kraken, Nick Percoco, compartilhou insights sobre esta situação através da plataforma de mídia social X.

Com base na conta da Percoco, um pesquisador de segurança relatou ao Kraken em 9 de junho sobre uma fraqueza que permitia aos usuários exagerar seus números de saldo. Esta imperfeição permitiu que um agente prejudicial instigasse depósitos e garantisse fundos sem concluir o procedimento.

Em 9 de junho de 2024, recebemos uma notificação de um pesquisador de segurança por meio do nosso programa Bug Bounty. A princípio, nenhum detalhe foi fornecido sobre o problema, mas eles alegaram ter descoberto uma falha “altamente crítica” que lhes permitiu aumentar falsamente o saldo de suas contas em nosso sistema.

— Nick Percoco (@c7five) 19 de junho, 2024

A equipe Kraken resolveu rapidamente o problema sem qualquer impacto nos fundos dos usuários. No entanto, a revelação do relatório de segurança provocou apreensões significativas. Diz-se que o pesquisador divulgou a vulnerabilidade a outras duas partes.

Essas pessoas se aproveitaram de uma vulnerabilidade no sistema, conseguindo sacar aproximadamente US$ 3 milhões dos fundos próprios da Kraken em vez dos pertencentes a outros clientes. O relatório inicial do bug não divulgou essas transações ilegais e, quando Kraken solicitou mais informações, os pesquisadores optaram por não fornecê-las.

Analisei a situação e, em vez de iniciar mais discussões, os investidores insistiram numa conversa cara a cara com a equipa de desenvolvimento de negócios da Kraken. Eles se recusaram a liberar os fundos até que Kraken fornecesse uma estimativa das possíveis repercussões financeiras se o bug descoberto tivesse sido ocultado. Na sua perspectiva, este pedido foi considerado extorsão e não hackeamento ético, conforme rotulado pela Percoco.

Os hackers de chapéu branco, que são especialistas em segurança contratados por empresas como Kraken e Coinbase por meio de seus programas de recompensas por bugs, são incentivados a identificar e divulgar vulnerabilidades em troca de recompensas. As regras destas iniciativas determinam que seja utilizado o método menos intrusivo para expor a falha, todos os ativos adquiridos devem ser devolvidos e detalhes abrangentes sobre a fraqueza devem ser partilhados.

Como investidor em criptografia, fiquei impressionado com a capacidade da Kraken de enfrentar os desafios recentes. Seu diretor de segurança, Nick Percoco, declarou recentemente em uma postagem no blog: “Não nomearemos a empresa de pesquisa envolvida, pois ela não merece reconhecimento por suas ações. Estamos tratando esta situação como um caso criminal e colaborando com as autoridades policiais. Estamos gratos por esta questão ter sido trazida à nossa atenção, mas, além disso, nosso foco continua em abordar o assunto em questão.”

2024-06-19 20:04