A exchange de criptomoedas Kraken enfrentou um roubo significativo de 3 milhões de dólares devido a uma falha crítica de segurança explorada por um pesquisador não identificado. Nick Percoco, diretor de segurança da Kraken, revelou que o incidente começou com um alerta do programa de Bug Bounty, indicando um bug que permitia inflar artificialmente saldos na plataforma. Embora os ativos dos clientes não tenham sido comprometidos, a falha permitiu que um atacante criasse ativos em contas fraudulentas.

Percoco explicou que o pesquisador inicialmente creditou 4 dólares em sua conta para demonstrar a vulnerabilidade, mas ao invés de reportar o problema à Kraken para uma recompensa legítima, compartilhou a falha com outros indivíduos. Isso resultou na criação de somas fraudulentas maiores, culminando na retirada ilegal de milhões de dólares dos cofres da Kraken, não dos ativos dos clientes. Quando confrontados pela Kraken, os envolvidos exigiram pagamento para devolver os fundos, sendo esta ação caracterizada como extorsão por Percoco.

A Kraken está tratando o incidente como um assunto criminal e está cooperando plenamente com as autoridades legais. Percoco destacou que o comportamento dos envolvidos representa uma violação séria das regras do programa de Bug Bounty, que é destinado à descoberta e correção de vulnerabilidades de forma ética. Ignorar essas regras para lucrar ilegalmente às custas da empresa transforma os indivíduos envolvidos em criminosos, sublinhando a importância da integridade e da ética na segurança cibernética corporativa.

Este incidente ressalta os desafios contínuos enfrentados pelas exchanges de criptomoedas e outras empresas que lidam com ativos digitais, destacando a necessidade constante de vigilância e proteção contra ameaças internas e externas.