Kraken enfrenta extorsão após exploração de bug criptográfico de US$ 3 milhões

Written by

Translated by

Written on Jun 19, 2024

Reading time 5 minutes

Kraken perde US$ 3 milhões em ativos digitais após exploração de bug de segurança.
O incidente destaca os desafios éticos e as tendências crescentes no hacking de criptografia.
Mais de US$ 542,7 milhões em ativos digitais foram roubados no primeiro trimestre de 2024, refletindo o aumento das ameaças à segurança.

A exchange de criptomoedas Kraken revelou recentemente que uma vulnerabilidade de segurança levou à perda de US$ 3 milhões em ativos digitais. Este incidente envolveu um autoproclamado pesquisador de segurança que identificou um bug crítico, posteriormente explorado por contas relacionadas para desviar fundos.

O evento levantou sérias questões sobre o hacking ético e os desafios crescentes de proteger ativos digitais no cenário em evolução das criptomoedas.

Descoberta e exploração do bug

Em 9 de junho, um indivíduo anônimo que afirmava ser um pesquisador de segurança alertou Kraken sobre uma falha de segurança significativa.

Embora o pesquisador inicialmente tenha demonstrado o bug com uma transferência mínima de criptografia no valor de US$ 4, o que normalmente se qualificaria para o programa de recompensas do Kraken, a situação rapidamente se agravou.

Duas contas associadas ao pesquisador exploraram o bug para retirar mais de US$ 3 milhões em ativos digitais do tesouro da Kraken.

O diretor de segurança da Kraken, Nick Percoco, destacou na plataforma de mídia social X a gravidade do incidente, observando que este não foi um caso de hacking de chapéu branco, mas sim um ato de extorsão.

O pesquisador exigiu uma recompensa pelos fundos roubados, recusando-se a devolver os ativos até que Kraken especulou sobre o dano potencial que o bug poderia ter causado se não fosse divulgado.

Instead, they demanded a call with their business development team (i.e. their sales reps) and have not agreed to return any funds until we provide a speculated $ amount that this bug could have caused if they had not disclosed it. This is not white-hat hacking, it is extortion!
— Nick Percoco (@c7five) June 19, 2024

Hacking ético ou extorsão?

O incidente gerou um debate na comunidade das criptomoedas sobre os limites éticos do hacking. Hackers éticos, ou hackers de chapéu branco, normalmente divulgam vulnerabilidades às empresas de forma responsável, permitindo-lhes resolver falhas de segurança sem causar danos.

No entanto, Kraken argumenta que as ações tomadas por este investigador e os relatos associados não estão alinhados com estes princípios.

Uma das três contas envolvidas completou a verificação Know Your Customer (KYC) da Kraken, identificando-se como pesquisadora de segurança. Apesar desta verificação, a identidade do indivíduo permanece desconhecida.

A decisão do investigador de explorar o bug para obter ganhos financeiros, em vez de meramente demonstrar a sua existência e reivindicar uma recompensa legítima, tem sido amplamente criticada.

Impacto no Kraken e na indústria de criptomoedas

Kraken enfatizou que nenhum fundo de usuário esteve em risco durante o incidente, já que a criptomoeda roubada veio diretamente do tesouro da exchange. No entanto, o evento sublinhou as vulnerabilidades contínuas na indústria das criptomoedas e a necessidade de medidas de segurança robustas.

Em resposta à exploração, a Kraken divulgou detalhes do bug para a indústria em geral, com o objetivo de evitar incidentes semelhantes. Esta transparência faz parte do compromisso da Kraken em melhorar a segurança em todo o ecossistema das criptomoedas.

Tendências crescentes em hacking de criptografia

O incidente Kraken faz parte de uma tendência mais ampla de aumento de hacks e explorações relacionadas à criptografia. De acordo com o relatório 2024 Crypto HackHub da Merkle Science, o primeiro trimestre de 2024 viu hackers roubarem US$ 542,7 milhões em ativos digitais, um aumento de 42% em comparação com o mesmo período de 2023.

Curiosamente, os vazamentos de chaves privadas surgiram como a principal causa dessas explorações, superando as vulnerabilidades dos contratos inteligentes.

Em 2023, os fundos hackeados perdidos devido a vulnerabilidades de contratos inteligentes despencaram 92%, para US$ 179 milhões, abaixo dos US$ 2,6 bilhões em 2022. No entanto, mais de 55% dos ativos digitais hackeados foram devido a vazamentos de chaves privadas.

Estas estatísticas refletem a natureza evolutiva das ameaças na indústria das criptomoedas, com os hackers a visarem cada vez mais pontos fracos de segurança individuais, em vez de falhas sistémicas em contratos inteligentes.

A indústria de criptomoedas sofreu 785 hacks e explorações relatadas nos últimos 13 anos, resultando em perdas de quase US$ 19 bilhões. Estes números destacam os desafios significativos que as bolsas, os fornecedores de carteiras e outras partes interessadas enfrentam na salvaguarda dos ativos digitais.

Qual é o caminho a seguir>

A experiência de Kraken serve como um forte lembrete da importância de medidas de segurança abrangentes e práticas éticas na indústria de criptomoedas. Embora a bolsa tenha tomado medidas para resolver o problema imediato, o incidente sublinha a necessidade de vigilância contínua e inovação nos protocolos de segurança.

Para a comunidade mais ampla de criptomoedas, o aumento de incidentes de hackers e a mudança nas táticas de explorações de contratos inteligentes para vazamentos de chaves privadas exigem estruturas de segurança aprimoradas.

Este artigo foi traduzido do inglês com a ajuda de ferramentas de IA, tendo sido depois revisto e editado por um tradutor local.