Kraken vs Certik

[Disruptivas]

Rolou uma polêmica curiosa entre uma das maiores exchanges do mundo e a maior auditora de cibersegurança do mundo cripto, a Certik.

Basicamente, a Certik descobriu um bug na Kraken que permitia a criação artificial de criptomoedas e depois tu poderia sacar. Ai o que eles fizeram? Sacaram o equivalente a $3M segundo eles '' pra provar que tinham descoberto o bug''. Mas ao que tudo indica, a Kraken não quis ''pagar'' a resposta pelo achado e a Certik resolveu passar os fundos por um mixer. Ai a Kraken começou a ameaçar eles e eles publicaram tudo nas redes sociais pra esclarecer e disseram que eles estavam pedindo um valor errado e não tinham enviado endereço pra devolver....

O que acham?
Eu acho bem justo que a Certik peça a recompensa dela.

E pelo que eu entendi do twitter do chefe de segurança da Certik, ele ''recebeu um email''' de alguem falando do bug. Não sei se eles trabalham com vários whitehat hackers e ai alguns são ''independentes''. Mas o processo de saque desses $3M foram em tres momentos diferentes. Então talvez até foi alguem independnete que fez um dos saques

[Pumared]

Primeiro de tudo é que eles reportaram errado esse bug. Se encontraram e validaram que ocorria em produção, não faz sentido sacar e dizer que provou. Descobriu, documenta tudo e repassa para os cara da Exchange analisar e corrigir depois eles receberiam.

Como esse processo não foi seguido, dá a entender que eles não tem um padrão e provavelmente tem terceiros agindo de má fé em nome deles.

[Disruptivas]

Primeiro de tudo é que eles reportaram errado esse bug. Se encontraram e validaram que ocorria em produção, não faz sentido sacar e dizer que provou. Descobriu, documenta tudo e repassa para os cara da Exchange analisar e corrigir depois eles receberiam.

Como esse processo não foi seguido, dá a entender que eles não tem um padrão e provavelmente tem terceiros agindo de má fé em nome deles.

Tu chegou a ler os tweet do chefe de segurança de Certik?

Nesse por exemplo: https://x.com/c7five/status/1803403622853779962

Ele explica como é o ''processo''

''Temos um programa Bug Bounty em vigor no Kraken há quase dez anos. Este programa é executado internamente e conta com a equipe de algumas das mentes mais brilhantes da comunidade. Nosso programa, como muitos outros, tem regras de trânsito claras…

1. Não explore mais do que o necessário para provar a vulnerabilidade.
2. Mostre seu trabalho (ou seja, forneça uma prova de conceito)
3. O que você extrai você devolve imediatamente ''

Então o saque faz parte sim do processo. Mas pelo que eu percebi por um dos primeiros tweets e por alguns outros, uma dessas ''mentes brilhantes'' que trabalha com eles que encontrou o erro. Eu acho que essa primeira pessoa foi la e explorou a vulnerabilidade, avisou eles, eles também foram ver se funciona mesma e fizeram o teste do saque. E ai essa primeira pessoa talvez não quis devolver.

[TryNinja]

Tu chegou a ler os tweet do chefe de segurança de Certik?

Na verdade esse é o chefe de segurança da Kraken.

Então o saque faz parte sim do processo. Mas pelo que eu percebi por um dos primeiros tweets e por alguns outros, uma dessas ''mentes brilhantes'' que trabalha com eles que encontrou o erro. Eu acho que essa primeira pessoa foi la e explorou a vulnerabilidade, avisou eles, eles também foram ver se funciona mesma e fizeram o teste do saque. E ai essa primeira pessoa talvez não quis devolver.

No processo há a etapa de realizar o saque sim, mas nesse mesmo thread ele fala que sacar $4, valor que eles testaram antes, já seria suficiente para provar o bug e receber a recompensa. Certamente não precisavam ter sacado $3 MILHÕES.

A Certik como não é boba, devolveu o valor: https://x.com/c7five/status/1803773589226995826

Para mim eles quiseram uma recompensa maior do que o acertado nas regras do bug bounty (afinal, era um erro imenso que talvez pudesse limpar a hot wallet), por isso meio que deram um ar de blackmailing. Pecaram bastante. E provavelmente perdeu o bounty...

[alegotardo]

Para mim eles quiseram uma recompensa maior do que o acertado nas regras do bug bounty (afinal, era um erro imenso que talvez pudesse limpar a hot wallet), por isso meio que deram um ar de blackmailing. Pecaram bastante. E provavelmente perdeu o bounty...

E também a credibilidade né!
Pra mim, alguém deu uma de amador dentro da Certik.

Pela reputação dos caras, duvido que trabalhem com terceiros, afinal não existe contrato que possa compensar o risco de sujar o nome da empresa, principalmente se o montante envolvido for "relevante".
Mas, o que importa mesmo é que eles ainda possuem competência para descobrir grandes furos em corretoras importantes, então não devem sumir do mercado tão cedo.

Enfim, não dá pra dizer que a situação terminou da "melhor forma", mas certamente dá pra se afirmar que com essa devolução as consequencias foram bem "minimizadas".

[TryNinja]

E também a credibilidade né!
Pra mim, alguém deu uma de amador dentro da Certik.

Pela reputação dos caras, duvido que trabalhem com terceiros, afinal não existe contrato que possa compensar o risco de sujar o nome da empresa, principalmente se o montante envolvido for "relevante".
Mas, o que importa mesmo é que eles ainda possuem competência para descobrir grandes furos em corretoras importantes, então não devem sumir do mercado tão cedo.

Te falar que essa Certik já é meio estranha há um tempo. Lembro da época inicial do DeFi onde todo dia tinha um hack novo com um projeto auditado por eles... fizeram muito dinheiro só nessa de auditar as coisas de forma superficial e todo mundo aceitou pois o importante era o adesivo no site de "auditado". Além claro, das várias auditorias em projetos completamente Ctrl C + Ctrl V. Trabalho fácil e dinheiro de graça.

[Pumared]

Primeiro de tudo é que eles reportaram errado esse bug. Se encontraram e validaram que ocorria em produção, não faz sentido sacar e dizer que provou. Descobriu, documenta tudo e repassa para os cara da Exchange analisar e corrigir depois eles receberiam.

Como esse processo não foi seguido, dá a entender que eles não tem um padrão e provavelmente tem terceiros agindo de má fé em nome deles.

Tu chegou a ler os tweet do chefe de segurança de Certik?

Nesse por exemplo: https://x.com/c7five/status/1803403622853779962

Ele explica como é o ''processo''

''Temos um programa Bug Bounty em vigor no Kraken há quase dez anos. Este programa é executado internamente e conta com a equipe de algumas das mentes mais brilhantes da comunidade. Nosso programa, como muitos outros, tem regras de trânsito claras…

1. Não explore mais do que o necessário para provar a vulnerabilidade.
2. Mostre seu trabalho (ou seja, forneça uma prova de conceito)
3. O que você extrai você devolve imediatamente ''

Então o saque faz parte sim do processo. Mas pelo que eu percebi por um dos primeiros tweets e por alguns outros, uma dessas ''mentes brilhantes'' que trabalha com eles que encontrou o erro. Eu acho que essa primeira pessoa foi la e explorou a vulnerabilidade, avisou eles, eles também foram ver se funciona mesma e fizeram o teste do saque. E ai essa primeira pessoa talvez não quis devolver.

Só pelo ponto 1 já conseguimos ver que foi um erro. Eles já haviam provado que o erro existia na criação de moedas se o saque existe ou não eles deveriam deixar para eles descobrirem. Ou então, OK, você irá sacar. Saque a quantidade de moeda gerada, sei lá 1 BTC ou algo nesse sentido. Não milhões

[joker_josue]

Normalmente esses programas de recompensas de erros, tem uns prazos, que permitem que a empresa afetada analise, verifique e corrija a situação. Só depois é que se recebe a recompensa.

Esse prazo foi comprido? Ou seja, a Kraken ainda estava a verificar a situação, demorou muito tempo e a Certik fez a denuncia? Ou a Certik, aproveitou para explorar o erro, enquanto a Kraken esta a verificar a situação?

Certamente existem provas de tudo o que aconteceu, e se a situação escalar, iremos descobrir.

[Disruptivas]

Na verdade esse é o chefe de segurança da Kraken.

ops! Tu ta certo!

Te falar que essa Certik já é meio estranha há um tempo. Lembro da época inicial do DeFi onde todo dia tinha um hack novo com um projeto auditado por eles... fizeram muito dinheiro só nessa de auditar as coisas de forma superficial e todo mundo aceitou pois o importante era o adesivo no site de "auditado". Além claro, das várias auditorias em projetos completamente Ctrl C + Ctrl V. Trabalho fácil e dinheiro de graça.

Mas a crítica acho que vale de três lados.
Tanto a crítica em relaçào ao trabalho dele. Mas também a crítica em relação aos próprios desenvolvedores de projeto. Eu já vi na prática, CEOs com bastante dinheiro que realmente só dizem '' vamos contratar duas auditoriais''  e é isso. Se tem o ok, pra eles está 100% resolvido. E ao mesmo tempo também tem a delegação por parte do próprio usuários, que ao ver o adesivo se sente confortável e não busca mais nada.

Mas durante essa treta, eu fiquei pensando algumas vezes, a quantidade de ''segredos'' que os caras da Certik devem saber e acho que teoricamente o pessoal vai resolvendo os bugs, mas acho que eles tem conhecimento pra ferrar bem o mercado. Claro que teoricamente eles não tem interesse nisso, mas é um problema certamente se alguém de altos levels ficar puto com algo

[joker_josue]

Mas durante essa treta, eu fiquei pensando algumas vezes, a quantidade de ''segredos'' que os caras da Certik devem saber e acho que teoricamente o pessoal vai resolvendo os bugs, mas acho que eles tem conhecimento pra ferrar bem o mercado. Claro que teoricamente eles não tem interesse nisso, mas é um problema certamente se alguém de altos levels ficar puto com algo

Teoricamente eles só fazem de forma "legal" ou "autorizada", aquilo que milhares de hackers da DarkWeb fazem diariamente. A diferença é que a Certik, informa as empresas para que os problemas sejam resolvidos - ganhado dinheiro com isso. O hackers ganham dinheiro por explorar o bug até ele ser descoberto e corrigido por alguém.

Por isso, as informações que eles tem, acabariam por só os prejudicar a eles e não ao mercado em si. Alem de que se o mercado sair prejudicado, eles não ganham nada com isso.

Olha este caso, se a Kraken conseguir provar que eles abusaram da informação que tinham, nenhuma empresa irá voltar a querer trabalhar com eles.

[alegotardo]

há um tempo. Lembro da época inicial do DeFi onde todo dia tinha um hack novo com um projeto auditado por eles... fizeram muito dinheiro só nessa de auditar as coisas de forma superficial e todo mundo aceitou pois o importante era o adesivo no site de "auditado". Além claro, das várias auditorias em projetos completamente Ctrl C + Ctrl V. Trabalho fácil e dinheiro de graça.

Uma vez um chefe meu me falou de um esquema semelhante com as "big four" de auditoria fiscal/contábil...
Não creio que ainda rola esse esquema hoje dia, mas que alguns anos atrás era comum empresas pagarem mais do que o usual para elas (que já são caras pra cacete) só para conseguirem uma auditoria meia-boca e conseguirem um papelzinho carimbado para apresentar aos acionistas e também conseguir arrecadar mais investimentos e empréstimos.
Falo em "talvés", porque depois de alguns escândalos à exemplo desse da Amercianas, acho que essas empresas de auditoria mais renomadas devem estar se cuidando melhor para não perder sua credibilidade. Mas, isso não é algo novo, pois auditoria séria qualquer pessoa bem intencionada e com estudo pode fazer, mas seu carimbo nunca vai valer tanto do que outra "renomada" mas com seus podres escondidos.

[Disruptivas]

Teoricamente eles só fazem de forma "legal" ou "autorizada", aquilo que milhares de hackers da DarkWeb fazem diariamente. A diferença é que a Certik, informa as empresas para que os problemas sejam resolvidos - ganhado dinheiro com isso. O hackers ganham dinheiro por explorar o bug até ele ser descoberto e corrigido por alguém.

Por isso, as informações que eles tem, acabariam por só os prejudicar a eles e não ao mercado em si. Alem de que se o mercado sair prejudicado, eles não ganham nada com isso.

Olha este caso, se a Kraken conseguir provar que eles abusaram da informação que tinham, nenhuma empresa irá voltar a querer trabalhar com eles.

Mas existem diversos tipos de testes e alguns testes de invasão e etc as empresas acabam por passar informações para os auditores, que podem incluir informações não tão disponíveis. E acho que existe um segundo elemento que é a ''quantidade''de certificações. Acho que os hackers podem ficar muito tempo buscando um alvo e no caso dessas certificadoras, elas meio que acabam tendo o histórico de bugs de todas as empresas. Por exemplo no caso da Kraken, são 10 anos trabalhando juntas, acho que a Certik acaba por saber muitas coisas. Mais do que os hackers do outro lado.

Uma vez um chefe meu me falou de um esquema semelhante com as "big four" de auditoria fiscal/contábil...
Não creio que ainda rola esse esquema hoje dia, mas que alguns anos atrás era comum empresas pagarem mais do que o usual para elas (que já são caras pra cacete) só para conseguirem uma auditoria meia-boca e conseguirem um papelzinho carimbado para apresentar aos acionistas e também conseguir arrecadar mais investimentos e empréstimos.
Falo em "talvés", porque depois de alguns escândalos à exemplo desse da Amercianas, acho que essas empresas de auditoria mais renomadas devem estar se cuidando melhor para não perder sua credibilidade. Mas, isso não é algo novo, pois auditoria séria qualquer pessoa bem intencionada e com estudo pode fazer, mas seu carimbo nunca vai valer tanto do que outra "renomada" mas com seus podres escondidos.

Em todos os ambientes acaba por sempre ter esse tipo de história, né? Imaginando o tamanho dessas instituições, sem dúvida devem ter casos do tipo. Mas não faz sentido pra mim que seja uma prática  ''amplamente''usada, por causa do custo da reputação deles e de todo o histórico de trabalho que eles tem feito. E claro que casos como os da Americanas realmente deve fazer com que eles revisem seus processos

[joker_josue]

Mas existem diversos tipos de testes e alguns testes de invasão e etc as empresas acabam por passar informações para os auditores, que podem incluir informações não tão disponíveis. E acho que existe um segundo elemento que é a ''quantidade''de certificações. Acho que os hackers podem ficar muito tempo buscando um alvo e no caso dessas certificadoras, elas meio que acabam tendo o histórico de bugs de todas as empresas. Por exemplo no caso da Kraken, são 10 anos trabalhando juntas, acho que a Certik acaba por saber muitas coisas. Mais do que os hackers do outro lado.

Sim, isso também é verdade. Essas empresas recebem informação mais detalhado dos serviços, para fazerem e explorarem potenciais falhas.

E nesse sentido, provavelmente a Certik terá informações sobre o código fonte da Kraken que mais ninguém sabe.

Isso levanta outra questão: até que ponto as empresas acabam por ficar "reféns" das empresas certificadores?

[TryNinja]

Outro detalhe é que um auditor da Certik ou outra empresa de auditoria de códigos pode muito bem encontrar algo e não reportar. Depois de alguns anos ele vai lá e rouba os fundos, como alguem diz que foi ele?

E há incentivo para isso... ganhar, sei lá, $100k ao ano auditando e reportando por bug bounties ou fazer o exploit você mesmo e levar milhões para casa (ainda que sujos, e de dificil uso)? Certamente deve ter algo por aí que já aconteceu desse jeito.

[joker_josue]

Outro detalhe é que um auditor da Certik ou outra empresa de auditoria de códigos pode muito bem encontrar algo e não reportar. Depois de alguns anos ele vai lá e rouba os fundos, como alguem diz que foi ele?

E há incentivo para isso... ganhar, sei lá, $100k ao ano auditando e reportando por bug bounties ou fazer o exploit você mesmo e levar milhões para casa (ainda que sujos, e de dificil uso)? Certamente deve ter algo por aí que já aconteceu desse jeito.

Auditoria a códigos não é algo novo. Por isso, acredito que exista um conjunto de orientações que permitem evitar isso.

Com base em algumas coisas que eu li, a empresa auditora não tem acesso ao código em contexto de produção, apenas em contexto final - aquele que fica disponível ao publico. A diferença é que ela tem acesso ao software primeiro, para poder trabalhar com ele e verificar se tudo funciona ou se existe algum bug.

Por isso, a partida eles não tem muito mais detalhes do que o publico em geral tem. Apenas tem é o conhecimento técnico para analisar profundamente o produto final.

Agora, existe sempre a possibilidade de não divulgar algum bug que encontram. Mas, isso já será difícil de controlar.

[TryNinja]

Outro detalhe é que um auditor da Certik ou outra empresa de auditoria de códigos pode muito bem encontrar algo e não reportar. Depois de alguns anos ele vai lá e rouba os fundos, como alguem diz que foi ele?

E há incentivo para isso... ganhar, sei lá, $100k ao ano auditando e reportando por bug bounties ou fazer o exploit você mesmo e levar milhões para casa (ainda que sujos, e de dificil uso)? Certamente deve ter algo por aí que já aconteceu desse jeito.

Auditoria a códigos não é algo novo. Por isso, acredito que exista um conjunto de orientações que permitem evitar isso.

Com base em algumas coisas que eu li, a empresa auditora não tem acesso ao código em contexto de produção, apenas em contexto final - aquele que fica disponível ao publico. A diferença é que ela tem acesso ao software primeiro, para poder trabalhar com ele e verificar se tudo funciona ou se existe algum bug.

Por isso, a partida eles não tem muito mais detalhes do que o publico em geral tem. Apenas tem é o conhecimento técnico para analisar profundamente o produto final.

Agora, existe sempre a possibilidade de não divulgar algum bug que encontram. Mas, isso já será difícil de controlar.

Isso não faz sentido em crypto.

O que os auditores recebem são os códigos do contrato. E esses códigos são os mesmos usados em produção, na rede. Além do mais, o código que roda os protocolos sempre é 100% aberto, 24 horas por dia. Não existe nenhum tipo de segredo exatamente pois crypto funciona na base do open code. Toda blockchain é aberta e cada tx é reproduzível do começo ao fim.

[joker_josue]

Isso não faz sentido em crypto.

O que os auditores recebem são os códigos do contrato. E esses códigos são os mesmos usados em produção, na rede. Além do mais, o código que roda os protocolos sempre é 100% aberto, 24 horas por dia. Não existe nenhum tipo de segredo exatamente pois crypto funciona na base do open code. Toda blockchain é aberta e cada tx é reproduzível do começo ao fim.

Então pronto, eles acaba por não ter acesso a informação privilegiada ou diferenciada. O que pode ser diferente é terem informação mais cedo.
E talvez eles apenas saibam de coisas que foram feitas e não chegaram a ser lançadas.

Acredito que o elemento chave, é que eles estão tão habituados a lidar com essa plataforma, e com os seus programadores, que eles consegue perceber como essa empresa costuma programar. E entendem profundamente como tudo funciona, e isso dá uma grande vantagem ao olhar para o código.

No final, continua sempre haver a possibilidade de ser encontrado um bug e não ser reportado, pela empresa ou pelo programador que identificou o bug.

[Pumared]

Isso não faz sentido em crypto.

O que os auditores recebem são os códigos do contrato. E esses códigos são os mesmos usados em produção, na rede. Além do mais, o código que roda os protocolos sempre é 100% aberto, 24 horas por dia. Não existe nenhum tipo de segredo exatamente pois crypto funciona na base do open code. Toda blockchain é aberta e cada tx é reproduzível do começo ao fim.

Então pronto, eles acaba por não ter acesso a informação privilegiada ou diferenciada. O que pode ser diferente é terem informação mais cedo.
E talvez eles apenas saibam de coisas que foram feitas e não chegaram a ser lançadas.

Acredito que o elemento chave, é que eles estão tão habituados a lidar com essa plataforma, e com os seus programadores, que eles consegue perceber como essa empresa costuma programar. E entendem profundamente como tudo funciona, e isso dá uma grande vantagem ao olhar para o código.

No final, continua sempre haver a possibilidade de ser encontrado um bug e não ser reportado, pela empresa ou pelo programador que identificou o bug.

Acredito que eles literalmente dão acesso a alguma informação de alto nível para poderem testar tanto a nível. Se parar pra pensar, acredito que eles não vão fazer o teste de unidade (a nível de código) mas provavelmente façam de integração com sistemas e os demais níveis.

[joker_josue]

Acredito que eles literalmente dão acesso a alguma informação de alto nível para poderem testar tanto a nível. Se parar pra pensar, acredito que eles não vão fazer o teste de unidade (a nível de código) mas provavelmente façam de integração com sistemas e os demais níveis.

Sim, também pode acontecer.

Mas, normalmente essas empresas tem como objetivo testar tudo o que um utilizador pode fazer, para detectar erros. Claro que depois a complexidade dos testes, variam conforme o tipo de produto que esta a ser desenvolvido.

Por exemplo, os testers de jogos, vão tentar procurar no jogo algum bug. Imagina um jogo de corridas de carros, talvez o tester irá levar o carro contra as barreiras, para ver se em algum ponto da pista, o carro consegue passar a barreira. A maioria dos jogadores do jogo, não vão fazer isso. Mas um tester tem de pensar em todos os cenários possíveis que possam acontecer, para minimizar os erros.

Na programação destas exchanges, são coisas parecidas que são feitas, mas num nível bem extremo. Além de investigar como um hacker agiria para tentar ultrapassar as barreiras da plataforma.

[sabotag3x]

Estava acompanhando essa treta.. a Kraken se queimou bastante:

A resposta frequente de uma exchange fraca ao encontrar um bug de segurança é se gabar de seu forte controle de risco e sistema de defesa aprofundado (que eles afirmam impedir qualquer perda significativa). A CertiK colocou isso à prova com a Kraken, e eles falharam miseravelmente.

Por sorte foi a Certik e não outro hacker.. eles sacaram US$ 3 milhões e os sistemas da Kraken nem "apitaram".. qual seria o limite? secar a hot wallet?

Eu que não deixo dinheiro em corretora, Kraken ou qualquer outra.. toda hora tem um maluco testando a segurança delas.

Agora, a história da Certik é meio estranha também.. vi relatos que estavam passando parte dos fundos pro Tornado Cash e outros mixers (https://decrypt.co/236323/tornado-cash-certik-defense-kraken-extortion-claims e https://x.com/tayvano_/status/1803656312087257350) antes de devolverem os fundos


Queria saber quanto a Kraken queria pagar para a Certik.. o maior prêmio já pago foi de míseros US$ 60.100 e a média é de US$ 2.046 (https://www.kraken.com/features/security/bug-bounty)