A exchange de criptomoedas Kraken anunciou que foi vítima de uma grande falha de segurança que resultou no roubo de US$ 3 milhões em ativos digitais. No entanto, numa reviravolta surpreendente, o responsável foi identificado como CertiK. Esta empresa de segurança blockchain afirma ter relatado inicialmente o bug por meio do programa de recompensas de bugs da Kraken.
A CertiK agora é acusada de explorar vulnerabilidades adicionais e extorquir a bolsa por mais dinheiro, levando a pedidos de ação legal e preocupações entre os investidores em criptografia.
Falhas de segurança do Kraken expostas
O incidente aconteceu quando o diretor de segurança da Kraken, Nick Percoco, revelado que a exchange recebeu um relatório de bug em 9 de junho de um autodenominado pesquisador de segurança. O pesquisador afirmou ter descoberto um bug “extremamente crítico” que lhes permitiu inflar artificialmente o saldo na plataforma.
Após uma investigação mais aprofundada, a CertiK, que admitiu seu envolvimento no incidente em seu postagem nas redes sociaisdescobriu várias vulnerabilidades críticas nos sistemas da Kraken que poderiam resultar em perdas de centenas de milhões de dólares.
Leitura Relacionada
As descobertas da CertiK revelaram deficiências no sistema de depósitos da Kraken, indicando uma falha na diferenciação entre os status de transferência interna. Além disso, os testes da CertiK revelaram que o Kraken falhou em todos estes testes, expondo o estado comprometido do sistema de defesa profunda do Kraken.
De acordo com CertiK, “milhões de dólares” poderiam ser depositados em qualquer conta Kraken, e uma quantia substancial de dinheiro fabricado criptomoeda (no valor de mais de US$ 1 milhão) poderiam ser sacados e convertidos em ativos digitais válidos.
A empresa de segurança também afirmou que nenhum alerta foi acionado durante um “período de teste de vários dias” e que Kraken só respondeu e bloqueou as contas de teste dias após o incidente ter sido oficialmente relatado.
Após a identificação da vulnerabilidade, a CertiK alega que a equipe de operações de segurança da Kraken “ameaçou” funcionários individuais da CertiK, exigindo o reembolso de uma quantidade “incompatível” de criptomoeda dentro de um “prazo irracional”, sem fornecer endereços de reembolso.
No entanto, a Percoco da Kraken respondeu que havia solicitado uma prestação de contas completa das atividades da empresa então desconhecida e a devolução dos fundos retirados. Percoco argumentou que a recusa da CertiK em atender a essas solicitações violava as regras do hacking ético e beirava a extorsão.
A CertiK enfrentará repercussões legais?
A revelação deste incidente suscitou surpresa e preocupações na comunidade das criptomoedas, levando a pedidos de ação legal contra a CertiK.
Um usuário acusado CertiK de roubar os fundos de US$ 3 milhões do Kraken, mantê-lo como resgate por uma recompensa, recusar-se a devolver os fundos e agora transferir o dinheiro para o Tornado.cash para protegê-lo de uma possível apreensão pelas autoridades.
O Diretor da Coinbase, Conor Grogan, apontou que Tornado.cash está sujeito às sanções do Escritório de Controle de Ativos Estrangeiros (OFAC) e destacou o domicílio da CertiK nos EUA, sugerindo possíveis repercussões legais por parte das agências dos EUA.
O especialista de mercado Adam Cochran também opinou, surpreso nas ações da CertiK e destacando o histórico de auditorias comprometidas da empresa. Cochran foi mais longe ao descrever a situação como “criminosa de direita”.
Leitura Relacionada
Os próximos passos dados pela Kraken e as possíveis consequências para a CertiK ainda não foram vistas. No entanto, o envolvimento de agências dos EUA e potenciais ações legais pairar sobre a empresa de segurança.
Os desenvolvimentos neste caso irão, sem dúvida, moldar o futuro dos programas de recompensas por bugs e impactar o relacionamento entre as bolsas de criptomoedas e as empresas de segurança.
Imagem em destaque da Shutterstock, gráfico de TradingView.com
Fonte: www.newsbtc.com