CertiK esclarece alegações de extorsão enquanto Kraken recupera US$ 3 milhões
A exchange de criptomoedas Kraken confirmou em 20 de junho a recuperação de quase US$ 3 milhões em ativos digitais da empresa de segurança blockchain CertiK após alegações de extorsão que ofuscaram seu “hack de chapéu branco”.O diretor de segurança da Kraken, Nick Percoco, recorreu ao X para anunciar a devolução dos fundos, menos o valor gasto em taxas de transação.
Update: We can now confirm the funds have been returned (minus a small amount lost to fees). https://t.co/cHkjPt3m2A
— Nick Percoco (@c7five) June 20, 2024
O CSO da Kraken relatou pela primeira vez os US$ 3 milhões em fundos perdidos em 19 de junho. Além disso, afirmou que um “pesquisador de segurança” sacou o dinheiro maliciosamente do tesouro após descobrir e divulgar um bug existente.
Inclusive, a Kraken alegou que o pesquisador de segurança os havia extorquido, recusando-se a devolver os fundos e exigindo uma recompensa com uma ligação para a equipe de desenvolvimento de negócios da corretora.
CertiK esclarece as alegações
Pouco depois da postagem da Kraken sobre os fundos desaparecidos, a empresa de segurança blockchain CertiK se identificou publicamente como o “pesquisador de segurança” que a Kraken alegou ter roubado US$ 3 milhões em ativos digitais.Aliás, isto surgiu num esforço para contestar as alegações e dissipar quaisquer noções de intenção maliciosa.Posteriormente, em uma postagem no X em 19 de junho, a CertiK disse ter informado a Kraken sobre uma exploração que lhe permitiu remover milhões de dólares das contas da exchange. A CertiK também afirmou ter sido ameaçada pela equipe da exchange.
“Após conversões iniciais bem-sucedidas na identificação e correção da vulnerabilidade, a equipe de operações de segurança da Kraken AMEAÇOU funcionários individuais da CertiK para reembolsar uma quantidade INCOMPARÁVEL de cripto em um prazo IRRAZOÁVEL, mesmo SEM fornecer endereços de reembolso”, afirmou a CertiK.
Para esclarecer o seu lado da história, a CertiK também divulgou uma linha do tempo de eventos. Na imagem abaixo você pode ver todo o discurso, começando com a identificação da exploração em 5 de junho.
Por que eles sacaram US$ 3 milhões?
O CSO da Kraken afirmou inicialmente que a primeira transferência maliciosa, no valor de apenas US$ 4, teria sido suficiente para provar o bug e ganhar “recompensas consideráveis” do programa de recompensas da Kraken.O pesquisador de segurança, mais tarde revelado ser a CertiK, em vez disso, sacaram quase US$ 3 milhões para suas contas Kraken.Em uma postagem no X após a devolução dos US$ 3 milhões, a CertiK respondeu a muitas questões importantes em torno da situação. Mais importante ainda, eles explicaram a sua justificação para a grande quantia.
“Queremos testar o limite da proteção e dos controles de risco do Kraken”, afirmou a CertiK. “Depois de vários testes em vários dias e perto de US$ 3 milhões em criptomoedas, nenhum alerta foi acionado e ainda não descobrimos o limite.”
Além disso, a CertiK afirma que não tinha intenção de trazer uma recompensa para o cenário; foi algo mencionado na exchange.
“Nunca mencionamos nenhum pedido de recompensa”, disse a CertiK. “Foi a Kraken quem primeiro mencionou sua recompensa para nós, enquanto respondíamos que a recompensa não era o tópico prioritário e queríamos ter certeza de que o problema foi resolvido.”
Ademais, CertiK destacou que seus esforços não foram às custas de nenhum usuário da Kraken. Os fundos acabaram “criados do nada”.Por fim, apesar da alegada inocência, a situação gerou debate sobre a natureza do hacking ético, protocolos de comunicação adequados e o tratamento adequado das vulnerabilidades descobertas.
Leia Mais: