A Kraken, uma das maiores exchanges de criptomoedas do mercado, foi recentemente explorada em cerca de US$ 3 milhões por uma suposta empresa de segurança.
Nick Percoco, diretor de segurança da Kraken, recebeu uma denúncia anônima de um “pesquisador de segurança” apontando para uma falha crítica na corretora, que permitiria o roubo de fundos.
Percoco explicou:
“Nossa equipe identificou uma falha de uma mudança de UX que creditava contas prematuramente, permitindo que os usuários negociassem em tempo real antes da liberação de ativos. Essa mudança não foi testada adequadamente contra essa vulnerabilidade específica… [Então,] um invasor malicioso poderia efetivamente imprimir ativos em sua conta Kraken.”
Antes que o problema fosse resolvido, três contas que estariam associadas ao pesquisador de segurança anônimo exploraram o bug, retirando US$ 3 milhões da plataforma.
Após isso, a empresa solicitou uma quantia arbitrária como recompensa, devido ao nível de gravidade do bug encontrado.
No entanto, a empresa recebeu uma resposta dura do executivo da corretora:
“Como pesquisador de segurança, sua licença para ‘hackear’ uma empresa é habilitada seguindo as regras simples do programa de recompensa por bugs do qual você está participando. Ignorar essas regras e extorquir a empresa revoga sua ‘licença para hackear’. Isso faz de você, e de sua empresa, criminosos.”