Exame Logo

Golpistas roubam R$ 15 milhões de gigante cripto e pedem recompensa por encontrar falha

Executivo da exchange Kraken revelou que empresa tinha falha que permitia o aumento artificial nos saldos em contas, permitindo o desvio

Corretora de criptomoedas Kraken revelou que foi alvo de golpe (Reprodução/Reprodução)
João Pedro Malar

Repórter do Future of Money

Publicado em 19 de junho de 2024 às 17h15.

Última atualização em 19 de junho de 2024 às 17h53.

A corretora de criptomoedas Kraken, que está entre as maiores do mundo, revelou nesta quarta-feira, 19, que foi alvo de um golpe que resultou naperda de cerca de US$ 3 milhões(mais de R$ 15 milhões, na cotação atual) em ativos. A ação se aproveitou de uma vulnerabilidade no sistema da exchange que foi identificada e notificada à empresa.

O golpe foi revelado por Nick Percoco, atual chefe de segurança da exchange, em uma publicação no X, antigo Twitter. Segundo o executivo, a empresa foi notificada sobre uma falha em seus sistemas no dia 9 de julho por um usuário que enviou a falha para o programa de recompensas por identificação de bugs.

Veja também

No e-mail enviado pelo usuário, ele afirmou que a empresa tinha um erro "extremamente crítico" que permitia que qualquer usuário inflasse artificialmente a quantidade de tokens em seu balanço na plataforma, podendo depois realizar o saque desse valor.

"Todos os dias recebemos relatórios falsos de bugs de pessoas em busca de recompensas e que afirmam ser 'pesquisadores de segurança'. Isso não é novidade para quem executa um programa de recompensas por bugs. No entanto, tratamos isso com seriedade e rapidamente montamos uma equipe para investigar esse problema", disse o executivo.

Segundo Percoco, a equipe identificou um "erro isolado" que permitiria que um golpista iniciasse um depósito na plataforma e então recebesse os fundos na sua conta sem concluir a operação. Ele disse ainda que a falha foi resolvida em "poucas horas" e não reapareceu desde então.

Porém, a equipe também descobriu que três contas teriam se aproveitado desse erro. A investigação apontou que uma delas envolveu apenas o aumento artificial do saldo na conta em US$ 4, o que Percoco acredita ter sido feito pelo usuário que identificou o erro como forma de prová-lo.

Entretanto, as outras duas contas combinadas geraram um saldo artificial de mais de US$ 3 milhões e então sacaram os valores. Percoco disse que os ativos dos clientes da Kraken não foram afetados, com o prejuízo recaindo diretamente nos fundos da exchange.

O executivo disse que o usuário que identificou o erro provavelmente informou os donos das outras contas sobre a falha, permitindo que eles a explorassem. Ao entrar em contato com o usuário solicitando o retorno do valor, a empresa recebeu uma recusa, e por isso se negou também a recompensá-lo pela descoberta da falha.

"Na essência da transparência, estamos divulgando esse bug para a indústria hoje. Estamos sendo acusados ​​de sermos irracionais e pouco profissionais por solicitar que 'hackers white-hats' [ que buscam erros em plataformas em troca de recompensas ] devolvam o que roubaram de nós. Inacreditável", argumentou o executivo.

Siga o Future of Money nas redes sociais: Instagram | Twitter | YouTube | Telegram | TikTok

Acompanhe tudo sobre:CriptomoedasCriptoativos

Mais lidas

exame no whatsapp

Receba as noticias da Exame no seu WhatsApp

Inscreva-se

Mais de Future of Money

Mais na Exame