Kraken afirma estar sendo extorquida por dados roubados de usuários de cripto e se recusa a pagar

A Kraken confirmou na segunda-feira que está sendo extorquida por um grupo criminoso que possui vídeos de sistemas internos contendo dados de clientes, e a exchange de criptomoedas recusou publicamente ceder às exigências.
O Diretor de Segurança (CSO), Nick Percoco, divulgou a ameaça via X em 13 de abril de 2026, afirmando que a empresa está trabalhando com autoridades federais em múltiplas jurisdições para efetuar prisões.
A recusa é a decisão correta. É também um sinal institucional calculado em um momento em que a confiança nas exchanges está estruturalmente frágil.
Principais Conclusões:
- O que foi violado: Sistemas internos contendo dados de clientes foram acessados por meio de recrutamento de insiders – não houve comprometimento total do sistema e nenhum fundo de cliente esteve em risco, de acordo com a Kraken.
- Escopo: Aproximadamente 2.000 indivíduos podem ter tido suas informações visualizadas, representando cerca de 0,02% da base total de usuários da Kraken; todos os usuários afetados foram contatados.
- Mecanismo de extorsão: Criminosos estão ameaçando liberar vídeos dos sistemas internos da Kraken e distribuir fragmentos de dados de clientes para a mídia e redes sociais, a menos que as exigências sejam atendidas.
- Resposta da Kraken: Percoco declarou publicamente: “Não pagaremos a esses criminosos; nunca negociaremos com maus atores” – e confirmou o envolvimento ativo de autoridades federais em múltiplas jurisdições.
- Padrão de insider: Um incidente em fevereiro de 2025 envolveu um vídeo semelhante compartilhado em um fórum criminoso; em ambos os casos, um indivíduo de dentro da empresa foi identificado.
- Contexto do setor: Os ataques do tipo “wrench attack” (ataques físicos) contra pessoal da indústria cripto aumentaram mais de 75% em relação ao ano anterior, com a CertiK atribuindo mais de 40.000.000 USD em perdas confirmadas a tais ataques no ano passado.
- O que observar: Se as prisões pelas autoridades se concretizarão e como o cronograma atrasado do IPO da Kraken absorverá a exposição reputacional de um segundo incidente de segurança consecutivo.
Como a violação da Kraken e a mecânica de extorsão realmente funcionaram
Este não foi um exploit de raspagem de credenciais ou uma vulnerabilidade de protocolo. O ponto de entrada tanto no incidente de fevereiro de 2025 quanto na atual ameaça de extorsão foi o recrutamento de insiders; indivíduos comprometidos dentro da organização da Kraken concederam acesso a sistemas internos, permitindo o reconhecimento em vez de uma invasão total.
O acesso parece ter sido apenas para leitura, suficiente para capturar dados de clientes em vídeo sem disparar detecção imediata.
Percoco confirmou que a Kraken recebeu uma denúncia sobre um vídeo mostrando informações confidenciais de clientes de seus sistemas cripto internos, o mesmo mecanismo usado no caso de fevereiro de 2025, quando um vídeo semelhante surgiu em um fórum criminoso.
Em ambos os casos, um ator interno foi identificado. Os criminosos estão agora ameaçando distribuir esses vídeos e os dados de clientes associados à mídia local e em redes sociais, a menos que a Kraken cumpra exigências não especificadas. O valor exato em dólares da demanda de extorsão não foi divulgado publicamente.
O padrão que Percoco descreveu é deliberado e escalável. “Temos colaborado com parceiros da indústria e autoridades policiais para investigar e interromper esforços de recrutamento de insiders visando não apenas empresas de cripto, mas também organizações de jogos e telecomunicações”, disse ele.
Isso não é um hacking oportunista. É uma infraestrutura de recrutamento coordenada operando em setores de dados de alto valor, e a Kraken está explicitamente nomeando-a como tal, o que é relevante para a forma como a indústria deve responder.
Novos vetores de roubo de cripto visam cada vez mais o acesso à infraestrutura em vez de exploits on-chain, e o recrutamento de insiders se encaixa nesse mesmo perfil de ameaça.
Quais dados de usuários foram realmente expostos – e o que isso possibilita
A Kraken não especificou publicamente quais categorias de dados foram capturadas nos vídeos, incluindo documentação KYC, endereços de carteira, histórico de transações ou metadados de conta.
O que está confirmado: aproximadamente 2.000 indivíduos tiveram suas informações visualizadas, e a Kraken afirma que já contatou todos os que estão em risco. O acesso foi apenas para leitura, e os sistemas internos não foram violados no sentido mais amplo de exfiltração de dados em escala.
O risco prático para os usuários afetados não é a invasão de conta; nenhum fundo foi acessado. O risco é engenharia social direcionada e exposição física.

(Fonte – TRM Labs)
Com nomes, endereços e dados de nível de conta em mãos criminosas, os usuários afetados tornam-se alvos para o mesmo vetor de ataque físico que a CertiK rastreou, resultando em mais de 40.000.000 USD em perdas no ano passado.
Esse número está quase certamente subestimado, dadas as normas de subnotificação. O contato da Kraken com os usuários afetados é a etapa processual correta; se esse contato incluiu orientações de segurança específicas, recomendações de chaves de hardware, mudanças de endereço ou vigilância intensificada, não está confirmado.