Como pesquisador com experiência nas indústrias de criptografia e segurança cibernética, considero o incidente Kraken-CertiK intrigante e preocupante. Embora pareça que a CertiK descobriu vulnerabilidades críticas nos sistemas da Kraken, os métodos que empregaram para testar essas vulnerabilidades geraram debates acalorados.
⚡️ CRISE À VISTA: Dólar ameaça derrubar o Real! VEJA O ALERTA!
Ler Análise Urgente!Como analista de segurança, eu interpretaria a perspectiva de Kraken como uma afirmação de que Certik agiu de forma muito agressiva. No entanto, Certik sustenta que as suas extensas ações de retirada foram essenciais para avaliar com precisão a magnitude do problema em questão.
Na semana passada, Kraken revelou que uma falha significativa permitiu que especialistas em segurança aumentassem falsamente seus saldos relatados e retirassem aproximadamente US$ 3 milhões injustificadamente.
E aí, pessoal! Prontos para embarcar na viagem maluca das notícias de cripto? No nosso canal do Telegram, vamos explorar o mundo das criptomoedas com leveza e bom humor. É como um papo de bar sobre Bitcoin, só que sem a ressaca no dia seguinte! 😄 Junte-se a nós agora e vamos desvendar esse universo juntos! 💸🚀
☞ Junte-se ao Telegram
Em 9 de junho de 2024, recebemos uma notificação de um pesquisador de segurança do nosso programa Bug Bounty. A princípio, eles não revelaram nenhum detalhe, mas alegaram ter descoberto uma falha “altamente crítica” que lhes permitiu aumentar injustamente o saldo de suas contas em nossa plataforma.
— Nick Percoco (@c7five) 19 de junho, 2024
Como analista, achei a ocorrência em torno da troca de criptografia e da interação da empresa de segurança cibernética bastante extraordinária. Esta situação anómala desencadeou um acalorado confronto verbal entre as duas partes.
Nick Percoco, o principal responsável pela segurança da Kraken, começou por revelar a descoberta de uma vulnerabilidade que permitia a utilizadores mal-intencionados falsificar fundos ilegalmente para uma conta.
Como pesquisador, vivenciei um incidente que exigiu 47 minutos para resolver os sintomas iniciais, seguidos de várias horas para resolvê-lo totalmente. Esse processo parecia típico e padrão em minha linha de trabalho.
Percoco acrescentou que o pesquisador de segurança informou dois colegas sobre o problema, permitindo-lhes apropriar-se indevidamente de fundos da empresa no valor de milhões.
Kraken solicitou informações sobre como a exploração foi realizada e pretendia restaurar completamente os fundos, mas alegou que os seus esforços foram rejeitados pela bolsa.
“Em vez de devolver o dinheiro, eles insistiram em falar com sua equipe de desenvolvimento de negócios e não concordaram em fazê-lo até fornecermos um valor estimado dos danos que esse bug poderia ter causado se não fosse divulgado. Isso não é ético hackear; é extorsão.”
Nick Percoco
Percoco argumentou que os pesquisadores excederam os limites pretendidos do programa de recompensas por bugs ao extrair o excesso de informações, negligenciaram a apresentação de uma demonstração funcional e atrasaram a devolução do dinheiro concedido.
Como analista, ponderei sobre a situação em questão. Será que um hacker outrora ético se desviou do caminho e agora estava envolvido em atividades maliciosas contra o Kraken? Ou talvez alguém estivesse tentando extorquir dinheiro da bolsa, ameaçando interromper suas operações? Alternativamente, este poderia ter sido um assunto totalmente criminal. Independentemente da motivação, foi crucial recolher mais informação e avaliar o potencial impacto no Kraken e nos seus utilizadores.
CertiK avança
A história dá uma reviravolta inesperada. Você pode ter pensado que o esquema foi arquitetado por um adolescente inteligente escondido em seu quarto. Na verdade, foi executado pela CertiK – uma figura proeminente na comunidade de auditoria Web3.
Três horas após a postagem da Percoco sobre X, a empresa divulgou seu relato sobre o ocorrido.
Recentemente, a CertiK descobriu diversas vulnerabilidades importantes na exchange KrakenFX, que, se exploradas, poderiam resultar em perdas financeiras totalizando centenas de milhões de dólares. Os problemas foram inicialmente descobertos no sistema de depósito da KrakenFX, onde ele pode não distinguir efetivamente entre várias transações internas.
— CertiK (@CertiK) 19 de junho de 2024
Durante vários dias consecutivos, os testes internos do Kraken não revelaram quaisquer problemas, fazendo com que a sua equipa de segurança tomasse medidas apenas após ser informada sobre a vulnerabilidade.
“Após o sucesso inicial no tratamento e resolução da vulnerabilidade identificada, a equipe de segurança da Kraken exigiu que funcionários específicos da CertiK reembolsassem uma quantidade inconsistente de criptomoeda dentro de um prazo injustificadamente curto, sem divulgar quaisquer endereços de reembolso.”
Certificado
CertiK instou Kraken a “cessar quaisquer ameaças contra hackers de chapéu branco”.
Um dia depois, ele abriu um tópico respondendo a perguntas sobre sua pesquisa.
1. Os fundos de algum usuário genuíno foram afetados em nossas recentes investigações CertiK-Kraken?
— CertiK (@CertiK) 20 de junho de 2024
Quero esclarecer que nenhum cliente Kraken sofreu perdas financeiras durante o recente incidente. A CertiK, por sua vez, manteve o compromisso e garantiu a devolução dos recursos. O único ponto de discórdia era o valor exato devido pela exchange.
Ao explicar por que optou por explorar a falha em tão grande escala, a empresa acrescentou:
“Nosso objetivo é levar as medidas de proteção e controles de risco do Kraken à sua capacidade máxima. Durante vários dias e quase três milhões de dólares em transações de criptomoeda, ainda não obtivemos uma resposta do sistema, deixando-nos incertos sobre onde isso o limite está.”
CertiK
Como analista, tenho examinado de perto a situação entre CertiK e Kraken. Parece que a CertiK estava buscando esclarecimentos da Kraken sobre as perdas potenciais que um ator fraudulento poderia ter incorrido se suas atividades maliciosas continuassem sem controle.
A empresa de segurança cibernética sustentou que um programa de recompensas por bugs não estava no topo de sua agenda e que todos os acordos relativos às suas atividades de teste tornaram-se acessíveis ao público.
Uma poderosa guerra de palavras
Em X, tem havido bastante desacordo sobre quem está certo e quem está errado.
Uma forma mais clara e coloquial de expressar essa frase poderia ser: “A questão importante é entender por que uma quantia tão grande foi usada durante os testes em uma posição onde a confiança é fundamental. Seria prudente consultar um advogado antes continuando a postar.”
— Seeb $LSS BULL (@crypto_seeb) 19 de junho de 2024
Três milhões de dólares são insignificantes perto das imensas consequências de um hack de falência. O fato de a vulnerabilidade duplo L do Kraken ter se tornado pública em vez de ser abordada discretamente por usuários anônimos agravou significativamente a situação.
— everhusk (@everhusk) 19 de junho de 2024
Como analista, posso reformular a justificativa da CertiK da seguinte forma: Para garantir a eficácia das bandeiras internas do Kraken, tive que iniciar retiradas massivas como parte do meu processo de exame minucioso.
O recente desacordo entre empresas da indústria das criptomoedas, que parece ter sido resolvido externamente, revela tensões e atritos subjacentes. Esta tensão existe não apenas entre as próprias empresas, mas também entre estas e os especialistas em segurança cibernética que se esforçam para garantir a sua segurança.
Como investigador que examina os limites éticos do hacking de chapéu branco, pondero sobre a necessidade de um consenso mais unificado relativamente às regras que regem esta prática. Em certos cenários, pergunto-me: será justificável que os chapéus brancos empreguem explorações em grande escala para se protegerem contra potenciais catástrofes futuras?
No cenário hipotético em que a Rede Ronin frustrou um dos maiores roubos de criptografia, resultando na prevenção da tomada de US$ 625 milhões, você pode justificar a perda temporária de alguns milhões, conforme necessário.
Independentemente da perspectiva assumida, esta ocorrência serve como um desagradável sinal de alerta de que bolsas significativas podem conter falhas não descobertas, colocando potencialmente em perigo as poupanças dos investidores regulares que dependem destas plataformas de negociação para a custódia de activos.
- Rússia testa míssil ultrassecreto com capacidade nuclear (VÍDEO)
- ASSISTA quase atingido por drone visando tanque russo
- Zelensky está pronto – ex -analista da CIA
- Reguladores da Noruega reprimem a mineração de criptografia por meio de nova lei
- Drone captura escala de exibição de armadura fornecida pelo Ocidente em Moscou (VÍDEO)
- Cidadão britânico explica porque se alistou no exército russo (VÍDEO)
- Guia da família de Paul McCartney: conheça seus filhos, netos e muito mais
- Ukrainian shells and drones strike near UN nuclear inspectors (MOD VIDEO)
- Civil morto no ataque ucraniano a Donetsk – Governador (vídeos)
- Rússia revela ambições olímpicas
2024-06-26 13:46