Crypto Exchange Kraken perde US$ 3 milhões devido à exploração de falha de segurança

Como analista com experiência em segurança cibernética, considero a experiência recente de Kraken com uma vulnerabilidade de dia zero preocupante e intrigante. O rápido tempo de resposta para identificar e resolver o problema é louvável, mas o facto de ter permitido a potencial manipulação de fundos antes da compensação dos depósitos é preocupante.

Como analista do mercado de criptomoedas, eu diria o seguinte: descobri que a Kraken, a principal plataforma global de negociação de criptomoedas, confessou ter sofrido um ataque cibernético. Este ataque explorou eficazmente uma vulnerabilidade não identificada e sem precedentes, resultando num roubo significativo de criptomoedas avaliado em milhões.

A exploração revelada

Em 9 de junho de 2024, Kraken recebeu um e-mail de um de seus pesquisadores do Bug Bounty relatando um problema significativo com a rede. Esta vulnerabilidade, conforme divulgada pelo diretor de segurança da Kraken, Nick Percoco, permitiu que um invasor falsificasse os números do balanço patrimonial no site além dos fundos disponíveis.

Como investidor em criptografia, me deparei com um problema preocupante em que um invasor conseguiu contornar o processo de verificação de depósitos e retiradas. Em termos mais simples, eles conseguiram transferir fundos para dentro e para fora da minha conta antes mesmo de o depósito ser confirmado. Esta vulnerabilidade pode levar a perdas financeiras significativas se não for resolvida imediatamente.

Resposta rápida, mas não rápida o suficiente

Em apenas 47 minutos, Kraken abordou rapidamente o alerta e resolveu o problema de segurança. A causa raiz foi identificada em um recurso de interface de usuário recentemente implementado, que permite aos clientes processar depósitos e posteriormente usar os fundos antes que essas transações sejam reconhecidas pela câmara de compensação.

Durante a infiltração, Kraken afirmou que nenhum dinheiro real de clientes foi desviado. No entanto, uma falha no sistema permitiu que indivíduos mal-intencionados realizassem transações com moeda falsificada.

Como investidor em criptografia, notei recentemente um padrão incomum de atividade. No espaço de uma semana, três contas diferentes tentaram uma transação idêntica – cada uma tentando sacar US$ 3 milhões da exchange. Entre essas contas, uma pertencia a um pesquisador de segurança que havia divulgado publicamente um bug no sistema pouco antes.

Com relação à vulnerabilidade relatada inicialmente, Percoco mencionou que um invasor que buscava lucrar com ela gastou apenas US$ 4 em criptomoeda como demonstração. No entanto, este investimento mínimo foi suficiente para enviar um relatório de bug e garantir uma recompensa. Mesmo assim, o pesquisador optou por compartilhar os detalhes da falha com outras duas pessoas. Juntos, eles conseguiram roubar cerca de US$ 3 milhões dos fundos da Kraken.

Dilema ético ou extorsão?

Como um investidor criptográfico, se Kraken me pedisse para devolver os fundos roubados e apresentar uma exploração de prova de conceito (PoC), eu esperaria que eles o fizessem sem exigir pagamento em troca. Na minha opinião, este pedido de pagamento é considerado extorsão, indo contra os padrões éticos de hacking de chapéu branco que defendo.

A equipe Kraken está tratando a situação como um crime potencial e colaborando com os departamentos de aplicação da lei relevantes.

Leia também: CHOCANTE: Esquemas criptográficos de “abate de porcos” em ascensão! O que você deveria saber

• DEGEN PREVISÃO. DEGEN criptomoeda
• XRP PREVISÃO. XRP criptomoeda
• LDO PREVISÃO. LDO criptomoeda
• FLOKI PREVISÃO. FLOKI criptomoeda
• AAVE PREVISÃO. AAVE criptomoeda
• BONK PREVISÃO. BONK criptomoeda
• SUPER PREVISÃO. SUPER criptomoeda
• WAXP PREVISÃO. WAXP criptomoeda
• Ripple vs SEC: Brad Garlinghouse está otimista com a vitória de Ripple no processo XRP
• A Polícia Criminal Alemã (BKA) distribuiu cerca de 8.000 BTCs desde 19 de junho!

2024-06-20 09:07