Neste artigo falamos de uma história que tem do incrível: há poucos dias a sociedade de auditoria Certik identificou uma falha nos sistemas de segurança do crypto exchange Kraken tal que poderia levar a um grave hack.
Depois de conduzir alguns testes por 3 dias e realizar um ataque “white hack” de 3 milhões de dólares, Certik contatou Kraken para informá-lo do bug, mas inicialmente se recusou a devolver imediatamente a quantia roubada.
A troca em crypto contatou imediatamente as forças da lei tratando a situação como um caso criminal, enquanto a firma de segurança criptográfica insiste que se trata de um teste típico de um “bounty program”. Agora os fundos parecem ter sido devolvidos.
Vamos ver tudo nos detalhes abaixo.
Summary
O hack de 3 milhões de dólares contra a crypto exchange Kraken: Certik é o responsável, mas se recusa a devolver o dinheiro
Esta história começa em 9 de junho de 2024, quando o crypto exchange Kraken recebe uma comunicação informal de um “pesquisador de segurança” que afirma ter descoberto uma vulnerabilidade na plataforma que poderia ter causado um hack de grandes proporções.
Como relatado em um tweet post-mortem por Nick Percoco, Chief Security Officer da Kraken, o pesquisador teria destacado uma falha nos sistemas de segurança dos depósitos (incapaz de distinguir diferentes estados de transferência interna), que permite aos usuários inflar seu saldo e sacar mais coins do que realmente têm à disposição. O exchange se movimentou imediatamente para resolver o problema, e em apenas 47 minutos uma equipe de especialistas conseguiu corrigir o bug.
Aqui está o que foi relatado por Percoco:
“o bug permitiu que um atacante mal-intencionado, nas circunstâncias certas, iniciasse um depósito em nossa plataforma e recebesse fundos em sua própria conta sem completar totalmente o depósito. Para ser claro, nenhum ativo dos clientes esteve em risco”
Até aqui tudo normal, se não fosse que a mesma empresa de segurança web3 onde trabalha o pesquisador que contatou Kraken, antes de comunicar oficialmente o bug teria realizado vários hacks na plataforma totalizando 3 milhões de dólares.
Logo após a publicação do post de Percoco, a renomada firma de auditoria Certik assumiu imediatamente a responsabilidade pelo ocorrido e revelou seu papel determinante no assunto.
Certik teria “testado” os mecanismos de defesa do Kraken realizando um ataque em larga escala, e retirando grandes quantidades de token MATIC de 3 contas diferentes, para depois limpar os rastros dos fundos através do mixer Tornado Cash.
Como explicado pelo responsável de segurança da exchange, depois de corrigir o problema, Kraken pediu a Certik para devolver os fundos, mas ela inicialmente recusou.
No entanto, Certik insiste que sua atividade está em linha com os princípios “white hack”.
A quanto pare Certik não mencionou o papel das 3 contas exploiter no ocorrido, apesar de ter realizado os testes de retirada nos 3 dias anteriores à comunicação com Kraken.
O pesquisador de segurança que avistou o bug, teria pedido um generoso bounty por ter identificado uma grande falha que poderia ter implodido em um pesado hack, mas Kraken insistiu que queria seus fundos de volta.
Como a sociedade de auditing se recusou a devolver o saque, e na verdade parecia ter se movido para ocultar as provas do hack, a exchange decidiu tratar a situação como se fosse um caso criminal, avisando as autoridades competentes e as forças da lei.
A companhia de segurança web3 havia solicitado à exchange um prêmio bounty igual ao valor especulado que esse bug poderia ter causado se não tivesse sido divulgado, enfurecendo a equipe da plataforma de troca.
Percoco comentou em seu perfil X sobre o ocorrido, mostrando toda a sua contrariedade em relação ao comportamento de Certik:
“Isso não é white hacking, isso é extorsão”.
A negação da Certik: fundos devolvidos apesar de alguns funcionários terem sofrido ameaças da equipe de Kraken
Certik, depois de se apresentar como a empresa responsável por ter identificado a falha nos sistemas de depósito, negou imediatamente o que foi dito pela Kraken, destacando o papel de “white hack” e suas intenções positivas.
A empresa revelou que havia montado um hack de grandes dimensões, para um montante de 3 milhões de dólares, apenas com o objetivo de testar a defesa da exchange, mas também sublinhou que nunca se recusou a devolver o saque, mas sim que queria garantir que tudo fosse executado corretamente.
Certik disse que ficou maravilhada com o potencial impacto negativo que o bug poderia ter causado, mas principalmente pelo fato de que os alarmes de Kraken nunca foram acionados. Isto foi afirmado em um post:
“Milhões de dólares podem ser depositados em QUALQUER conta Kraken. Uma enorme quantidade de cripto (no valor de mais de 1 M + USD) pode ser retirada da conta e convertida em criptos válidas. Pior ainda, durante o período de teste de vários dias, não foram ativados alertas”.
Além disso, a firma de auditoria explicou que um membro da equipe da exchange teria ameaçado um próprio pesquisador de devolver a quantia dentro de um prazo pouco razoável (6 horas) sem, no entanto, fornecer um endereço de repayment.
Isso ocorreu após, dias depois do hack, as duas empresas se comunicarem por chamada para tentar encontrar uma solução e resolver a questão.
A quanto pare ciò che ha desencadeado o caos foi o valor do prêmio de bounty proposto pela Kraken, que não foi considerado adequado ao esforço realizado e ao possível exploit prevenido. Como de fato relatado por um porta-voz da Kraken ao Coindesk:
“Envolvemos esses pesquisadores de boa fé e, em linha com uma década de gestão de um programa de recompensas de bugs, oferecemos uma recompensa considerável pelos seus esforços. Estamos desapontados com esta experiência e agora estamos trabalhando com as forças da lei para recuperar os bens desses pesquisadores de segurança”.
Hoje Certik publicou outro post com algumas FAQ para esclarecer ainda mais sua posição e remover qualquer dúvida.
A empresa de segurança reitera que “consistentemente” confirmou que devolveria o valor roubado, e afirma que agora todos os fundos estão de volta nas mãos da Kraken.
Esses fundos foram enviados ao remetente em 734.19215 ETH, 29,001 USDT e 1021.1 XMR, enquanto a exchange teria solicitado expressamente o envio de 155818.4468 MATIC, 907400.1803 USDT, 475.5557871 ETH e 1089.794737 XMR, para um valor total superior a cerca de 100.000 dólares.
Kraken permanece firme no seu próprio conceito de ética do “white hacking” e sustenta que o bullismo realizado pela Certik possa ser identificado como extorsão.
O programa Bounty da exchange requer de terceiros encontrar o problema, explorar o valor mínimo necessário para provar o bug (sem executar um hack de 3 milhões de dólares), devolver os recursos e fornecer detalhes sobre a vulnerabilidade.
