Falha zero-day na Kraken
20 de Junho de 2024

A exchange de criptomoedas Kraken revelou que um pesquisador de segurança não identificado explorou uma falha "extremamente crítica" de zero-day em sua plataforma para roubar $3 milhões em ativos digitais e se recusou a devolvê-los.

Os detalhes do incidente foram compartilhados pelo Chief Security Officer (CSO) da Kraken, Nick Percoco, no X (antigo Twitter), afirmando que recebeu um alerta do programa Bug Bounty do pesquisador sobre um bug que "permitia que eles inflassem artificialmente seu saldo em nossa plataforma" sem compartilhar outros detalhes.

Poucos minutos após receber o alerta, a empresa disse ter identificado uma falha de segurança que essencialmente permitia que um atacante "iniciasse um depósito em nossa plataforma e recebesse fundos em sua conta sem concluir totalmente o depósito".

Embora a Kraken tenha enfatizado que nenhum ativo do cliente estava em risco devido à falha, ela poderia ter permitido que um ator de ameaças "criasse" ativos em suas contas.

O problema foi resolvido em 47 minutos, segundo informado.

A empresa também disse que a falha decorria de uma recente mudança na interface do usuário que permite aos clientes depositar fundos e usá-los antes de serem compensados.

Além disso, uma investigação adicional revelou que três contas, incluindo uma pertencente ao suposto pesquisador de segurança, exploraram a falha em poucos dias entre si e desviaram $3 milhões.

"Esse indivíduo descobriu o bug em nosso sistema de financiamento e o usou para creditar sua conta com $4 em cripto," disse Percoco.

Isso teria sido suficiente para provar a falha, registrar um relatório de bug bounty com nossa equipe e receber uma recompensa muito considerável sob os termos do nosso programa. Em vez disso, o 'pesquisador de segurança' divulgou esse bug para outros dois indivíduos com os quais trabalha, que geraram fraudulentamente somas muito maiores.

Eles finalmente sacaram quase $3 milhões de suas contas na Kraken.

Isso foi dos cofres da Kraken, não de outros ativos de clientes. Em uma reviravolta estranha, ao serem abordados pela Kraken para compartilhar seu proof-of-concept (PoC) e organizar a devolução dos fundos que haviam sacado, eles, em vez disso, exigiram que a empresa entrasse em contato com sua equipe de desenvolvimento de negócios para pagar uma quantia estabelecida para liberar os ativos.

"Isso não é hacking de chapéu branco, é extorsão", disse Percoco, instando as partes envolvidas a devolverem os fundos roubados.

O nome da empresa não foi divulgado, mas a Kraken disse que está tratando o evento de segurança como um caso criminal e está coordenando com agências de aplicação da lei sobre o assunto.

"Como pesquisador de segurança, sua licença para 'hackear' uma empresa é habilitada seguindo as regras simples do programa de bug bounty em que você está participando," Percoco observou.

Ignorar essas regras e extorquir a empresa revoga sua 'licença para hackear'.

Isso te torna, e sua empresa, criminosos. Atualização A empresa de segurança Blockchain CertiK se apresentou como a entidade por trás da violação no Kraken, alegando que detectou várias falhas críticas que tornaram possível criar (ou seja, fabricar) cripto em qualquer conta, que então poderia ser sacada e convertida em ativos cripto válidos.

"Milhões [de] dólares de cripto foram criados do nada, e nenhum ativo de usuário real do Kraken estava diretamente envolvido em nossas atividades de pesquisa," a empresa escreveu no X, defendendo suas ações.

Por vários dias, com muitos tokens fabricados gerados e retirados para criptos válidos, nenhum mecanismo de controle ou prevenção de riscos foi acionado até ser relatado pela CertiK.

A verdadeira questão deveria ser por que o sistema de defesa aprofundado da Kraken falhou em detectar tantas transações de teste.

Grandes saques contínuos de diferentes contas de teste faziam parte do nosso teste. A CertiK afirmou ainda que a "equipe de operações de segurança da Kraken AMEAÇOU funcionários individuais da CertiK a reembolsar uma quantia INCOMPATÍVEL de cripto em um tempo INJUSTO mesmo SEM fornecer endereços de reembolso." Dito isso, também surgiram evidências de que um pesquisador da CertiK pode ter realizado sondagens e testes tão cedo quanto 27 de maio de 2024, contradizendo a linha do tempo de eventos da empresa.

O desenvolvimento ocorre à medida que a Kraken, em uma postagem no blog, acusou a "empresa terceirizada de pesquisa de segurança" de explorar a falha para ganho financeiro antes de relatá-la.

A vulnerabilidade de segurança, agora resolvida, "permitia que certos usuários, por um curto período de tempo, aumentassem artificialmente o valor do saldo de sua conta Kraken sem concluir totalmente um depósito."

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...