A CertiK, uma empresa de segurança blockchain, descobriu e corrigiu uma falha significativa no mecanismo de depósito da popular exchange de criptomoedas Kraken, que foi explorada para desviar quase $3 milhões. A brecha permitiu depósitos não autorizados e posterior retirada sem a conclusão correta da transação.
Nick Percoco da Kraken revelou anteriormente que a falha de segurança foi rapidamente corrigida após sua descoberta. No entanto, o incidente teve uma reviravolta inesperada quando foi vinculado a três indivíduos de uma empresa de pesquisa que sacaram fundos substanciais usando a exploração. Eles retiveram as criptomoedas, pressionando a Kraken a expor a extensão das possíveis perdas caso a falha não fosse relatada.
A vulnerabilidade descoberta pela CertiK era preocupante, pois permitia a adição fraudulenta de grandes somas, superiores a $1 milhão, às contas da Kraken e posterior troca por criptomoeda legítima. A CertiK realizou uma série de testes usando tokens MATIC, que passaram despercebidos por vários dias antes da Kraken tomar medidas para bloquear as contas implicadas.
A CertiK divulgou uma sequência de depósitos feitos como parte de seus testes e afirmou que a resposta subsequente da Kraken incluiu comportamentos ameaçadores em relação a seus funcionários sobre a devolução de uma quantia incorretamente quantificada de criptomoedas dentro de um prazo notavelmente curto, sem fornecer instruções de reembolso.
Como resolução, a CertiK iniciou uma transferência de fundos para uma conta pré-definida da Kraken, contornando a controvérsia sobre a quantia exata e as orientações de reembolso conforme anteriormente alegado pela CertiK. A Kraken permaneceu calada, apontando para suas declarações públicas anteriores para justificar sua posição sobre o assunto.