A CertiK, uma empresa líder em segurança de blockchain, revelou recentemente detalhes sobre uma exploração crítica que poderia ter comprometido milhões de dólares em ativos digitais. O diretor de segurança da Kraken, Nick Percoco, divulgou na quarta-feira que quase US$ 3 milhões foram retirados de suas carteiras após o bug. A vulnerabilidade já foi corrigida.
CertiK recently identified a series of critical vulnerabilities in @krakenfx exchange which could potentially lead to hundreds of millions of dollars in losses.
Starting from a finding in @krakenfx's deposit system where it may fail to differentiate between different internal… pic.twitter.com/JZkMXj2ZCD
— CertiK (@CertiK) June 19, 2024
‘Após conversões iniciais bem-sucedidas na identificação e correção da vulnerabilidade, a equipe de operações de segurança da Kraken AMEAÇOU funcionários individuais da CertiK a reembolsar uma quantidade INCOMPARADA de criptografia em um prazo IRRACIONÁVEL, mesmo SEM fornecer endereços de reembolso’, disse CertiK.
Percoco alegou que três indivíduos ligados a uma empresa de pesquisa não identificada estavam por trás das retiradas e se recusaram a devolver os fundos até que a Kraken revelasse o tamanho potencial da exploração caso não tivessem relatado o problema.
Descoberta e mitigação da vulnerabilidade
A vulnerabilidade foi descoberta em um sistema de contratos inteligentes associado ao projeto Kraken, uma plataforma de intercâmbio de criptomoedas. Este bug crítico tinha o potencial de ser explorado por agentes mal-intencionados para desviar fundos ou causar outros danos graves.
The real question should be why Kraken’s in-depth defense system failed to detect so many test transactions. This is indeed what we were testing.
You often heard from a weak exchange’s response to a security bug finding with a brag of their strong risk control and in-depth…
— CertiK (@CertiK) June 19, 2024
As reações iniciais de muitos usuários de criptografia pareciam apoiar Kraken, alegando que as ações da CertiK não eram semelhantes às dos hackers de chapéu branco. Graças a essa ação rápida e colaborativa, a falha foi corrigida antes que pudesse ser explorada por hackers mal-intencionados.
Holy shit.
Certik just admitted to being the security firm that stole from Kraken and is trying to extort them for more of a payment.
Given how often Certik audits get hacked and now this shit, it’s wild they still exist.
Down right criminal. https://t.co/Ijpv3x5Pxc
— Adam Cochran (adamscochran.eth) (@adamscochran) June 19, 2024
A empresa de segurança publicou um cronograma de eventos, começando com a identificação da exploração em 5 de junho e terminando com alegações de que Kraken ameaçou um funcionário da CertiK em 18 de junho.
Implicações para a segurança blockchain
O incidente destaca a necessidade contínua de vigilância na segurança blockchain. Com o crescimento explosivo das criptomoedas e a complexidade crescente dos sistemas baseados em blockchain, a identificação e correção de vulnerabilidades são cruciais para prevenir perdas financeiras significativas e manter a confiança dos usuários.
A CertiK continua a desempenhar um papel fundamental na proteção do ecossistema de criptomoedas. Através de suas auditorias e colaborações com hackers éticos, a empresa ajuda a assegurar que os projetos de blockchain sejam seguros e resistentes a ameaças.
Para a indústria como um todo, esta situação serve como um lembrete de que a segurança é um processo contínuo e colaborativo. As plataformas de criptomoedas devem estar sempre preparadas para identificar e mitigar riscos potenciais com a ajuda de toda a comunidade de segurança.