O diretor de segurança da Crypto Exchange Kraken, Nick Percoco, revelou que um grupo não revelado de hackers de chapéu branco se recusou a devolver aproximadamente US$ 3 milhões em ativos digitais, que roubaram da plataforma de cofres da empresa explorando um bug em seu sistema.
Em uma série de
Pesquisadores de segurança revelam bug do Kraken
De acordo com Percoco, um pesquisador de segurança enviou um alerta do Bug Bounty Program para Kraken em 9 de junho, alegando ter encontrado um bug “extremamente crítico” que permitia aos usuários inflar artificialmente seu saldo na plataforma. Embora a exchange tenha receio de receber diariamente numerosos relatos de falsas recompensas por bugs, ela levou a reclamação a sério e montou uma equipe para investigar o problema.
A equipe encontrou um bug que permitia aos cibercriminosos iniciar depósitos no Kraken e receber fundos em suas contas sem concluir os depósitos. Embora o bug não colocasse os fundos dos clientes em risco, um invasor poderia imprimir ativos em suas contas e fazer saques que poderiam ser extraídos do tesouro da Kraken.
O problema foi contido em menos de duas horas após a identificação. A equipe descobriu que o bug resultou de uma falha na experiência do usuário (UX) mais recente do Kraken. Após uma investigação mais aprofundada, Kraken descobriu que três contas já haviam explorado a falha. Uma conta estava vinculada a um usuário que afirmava ser pesquisador de segurança.
Acontece que o pesquisador encontrou o bug primeiro, explorou-o para creditar US$ 4 em criptomoeda em sua conta Kraken e, em vez de preencher um relatório de recompensa de bug com a equipe apropriada, notificou seus dois colegas, que exploraram o padrão para somas maiores. Coletivamente, eles retiraram aproximadamente US$ 3 milhões em criptomoedas de suas contas.
O Bug Bounty se transformou em extorsão
Quando Kraken contatou os pesquisadores de segurança e solicitou a prestação de contas de suas atividades e a devolução dos bens apreendidos, eles recusaram. Eles chamaram Kraken de irracional e pouco profissional e pediram à plataforma que fornecesse uma estimativa dos danos que o bug poderia causar.
Percoco disse que Kraken levou o caso às autoridades por se tratar de um caso de extorsão.
“Estamos tratando isso como um caso criminal e estamos coordenando com as autoridades policiais nesse sentido. Estamos gratos por este problema ter sido relatado, mas é aí que termina o pensamento”, disse Percoco.
O post White Hat Hackers se recusam a devolver US$ 3 milhões roubados do Tesouro Kraken apareceu pela primeira vez no CryptoPotato .