El director de seguridad de Kraken reveló que un error en el sistema de financiación del intercambio provocó una pérdida de 3 millones de dólares después de ser explotado por investigadores de seguridad deshonestos.
Kraken, el exchange de criptomonedas estadounidense, perdió alrededor de $3 millones en criptomonedas a principios de junio después de que un "investigador de seguridad" deshonesto explotara un error en el sistema de financiación del exchange. El jefe de seguridad de Kraken, Nick Percoco, reveló el incidente en un hilo X, enfatizando el incumplimiento de los estándares éticos por parte de las personas involucradas.
Todos los días recibimos informes falsos de recompensas por errores de personas que dicen ser "investigadores de seguridad". Esto no es nuevo para nadie que ejecute un programa de recompensas por errores. Sin embargo, tratamos esto con seriedad y rápidamente reunimos un equipo multifuncional para profundizar en este problema. Esto es lo que encontramos.
– Nick Percoco (@c7five) 19 de junio de 2024
Según Percoco, el equipo recibió por primera vez una notificación de un "investigador de seguridad" sobre un posible error el 9 de junio. Más tarde, el equipo encontró un "fallo derivado de un cambio reciente de UX" que permitiría acreditar las cuentas de los clientes antes que sus activos. autorizado, lo que permite a los clientes comerciar eficazmente en mercados criptográficos en tiempo real. El CSO de Kraken admitió que el intercambio no probó el cambio de UX contra ese vector de ataque específico antes del ataque.
"Este cambio de UX no se probó exhaustivamente contra este vector de ataque específico", escribió Percoco.
También te puede interesar: Kraken vuelve a pedir que se desestime la demanda de la SEC, citando redacción incorrecta
Después de reparar la vulnerabilidad, Kraken descubrió que tres cuentas habían explotado la misma falla con unos pocos días de diferencia. En lugar de informar el error directamente, el investigador de seguridad supuestamente compartió la información con dos asociados, dijo Percoco, y agregó que los individuos desconocidos finalmente retiraron casi $3 millones de dólares de las tesorerías de Kraken.
Percoco señaló que el informe inicial del "investigador de seguridad" no reveló completamente el error, por lo que el equipo tuvo que volver a confirmar algunos detalles para avanzar y recompensarlos por identificar con éxito una falla de seguridad.
Kraken solicitó una cuenta completa de sus actividades, una prueba de concepto y la devolución de los fondos retirados. Sin embargo, los individuos se negaron a cumplir, lo que Percoco describió como “no piratería de sombrero blanco” sino más bien “extorsión”. No está claro si Kraken identificó a todos los atacantes o logró recuperar los fondos robados.
Leer más: Kraken, el exchange de criptomonedas, prevé un aumento de 100 millones de dólares antes de la IPO