PANews berichtete am 19. Juni, dass Nick Percoco, Chief Security Officer von Kraken, auf Twitter bekannt gab, dass er am 9. Juni einen Schwachstellenbericht von einem Sicherheitsforscher erhalten habe, in dem er behauptete, eine „äußerst schwerwiegende“ Schwachstelle entdeckt zu haben, die den Kontostand künstlich erhöhen könnte. Die Untersuchung ergab, dass jüngste Änderungen an der Benutzererfahrung (UX) dazu führten, dass das System Gelder gutschrieb, bevor Einzahlungen abgeschlossen waren, was es Angreifern ermöglichte, den Kontostand zu erhöhen. Obwohl die Vermögenswerte der Kunden nicht gefährdet waren, ermöglichte die Schwachstelle den Angreifern, über einen bestimmten Zeitraum hinweg Gelder zu „manipulieren“. Kraken hat den Fehler in etwa einer Stunde (47 Minuten) behoben und herausgefunden, dass drei Konten ihn ausgenutzt hatten, um fast 3 Millionen US-Dollar aus Kraken-Tresoren abzuheben, von denen eines dem Forscher gehörte, der den Fehler ursprünglich gemeldet hatte. Diese Person fügte ihrem Guthaben nur 4 US-Dollar hinzu und hätte die Sicherheitslücke nachweisen und ein Kopfgeld erhalten können, informierte aber stattdessen andere über die Sicherheitslücke, die einen großen Betrag der Gelder abhoben. Kraken forderte vollständige Aufzeichnungen über ihre Aktivitäten und eine Rückerstattung der Gelder, doch sie weigerten sich und versuchten eine Erpressung. Kraken arbeitet in dieser Angelegenheit mit Strafverfolgungsbehörden zusammen, und Percoco betonte, dass konforme Sicherheitsforschung die Regeln des Bug-Bounty-Programms einhalten sollte und dass eine Überschreitung der Regeln und die Erpressung von Geld inakzeptabel seien.