Corretora de criptomoedas Kraken revelou que foi alvo de golpe (Reprodução/Reprodução)
Repórter do Future of Money
Publicado em 19 de junho de 2024 às 17h15.
Última atualização em 19 de junho de 2024 às 17h53.
A corretora de criptomoedas Kraken, que está entre as maiores do mundo, revelou nesta quarta-feira, 19, que foi alvo de um golpe que resultou na perda de cerca de US$ 3 milhões (mais de R$ 15 milhões, na cotação atual) em ativos. A ação se aproveitou de uma vulnerabilidade no sistema da exchange que foi identificada e notificada à empresa.
O golpe foi revelado por Nick Percoco, atual chefe de segurança da exchange, em uma publicação no X, antigo Twitter. Segundo o executivo, a empresa foi notificada sobre uma falha em seus sistemas no dia 9 de julho por um usuário que enviou a falha para o programa de recompensas por identificação de bugs.
No e-mail enviado pelo usuário, ele afirmou que a empresa tinha um erro "extremamente crítico" que permitia que qualquer usuário inflasse artificialmente a quantidade de tokens em seu balanço na plataforma, podendo depois realizar o saque desse valor.
"Todos os dias recebemos relatórios falsos de bugs de pessoas em busca de recompensas e que afirmam ser 'pesquisadores de segurança'. Isso não é novidade para quem executa um programa de recompensas por bugs. No entanto, tratamos isso com seriedade e rapidamente montamos uma equipe para investigar esse problema", disse o executivo.
Segundo Percoco, a equipe identificou um "erro isolado" que permitiria que um golpista iniciasse um depósito na plataforma e então recebesse os fundos na sua conta sem concluir a operação. Ele disse ainda que a falha foi resolvida em "poucas horas" e não reapareceu desde então.
Porém, a equipe também descobriu que três contas teriam se aproveitado desse erro. A investigação apontou que uma delas envolveu apenas o aumento artificial do saldo na conta em US$ 4, o que Percoco acredita ter sido feito pelo usuário que identificou o erro como forma de prová-lo.
Entretanto, as outras duas contas combinadas geraram um saldo artificial de mais de US$ 3 milhões e então sacaram os valores. Percoco disse que os ativos dos clientes da Kraken não foram afetados, com o prejuízo recaindo diretamente nos fundos da exchange.
O executivo disse que o usuário que identificou o erro provavelmente informou os donos das outras contas sobre a falha, permitindo que eles a explorassem. Ao entrar em contato com o usuário solicitando o retorno do valor, a empresa recebeu uma recusa, e por isso se negou também a recompensá-lo pela descoberta da falha.
"Na essência da transparência, estamos divulgando esse bug para a indústria hoje. Estamos sendo acusados de sermos irracionais e pouco profissionais por solicitar que 'hackers white-hats' [que buscam erros em plataformas em troca de recompensas] devolvam o que roubaram de nós. Inacreditável", argumentou o executivo.