PANews informó el 19 de junio que el director de seguridad de Kraken, Nick Percoco, reveló en Twitter que se recibió un informe de vulnerabilidad de un investigador de seguridad el 9 de junio, afirmando haber descubierto una vulnerabilidad "extremadamente grave" que podría aumentar artificialmente los saldos de las cuentas. La investigación encontró que los cambios recientes en la experiencia del usuario (UX) hicieron que el sistema acreditara fondos antes de que se completaran los depósitos, lo que permitió a los atacantes inflar los saldos de las cuentas. Aunque los activos de los clientes no estaban en riesgo, la vulnerabilidad permitió a los atacantes "fabricar" fondos durante un período de tiempo. Kraken solucionó el fallo en aproximadamente una hora (47 minutos) y descubrió que tres cuentas lo habían explotado para retirar casi 3 millones de dólares de las bóvedas de Kraken, una de las cuales pertenecía al investigador que informó originalmente el fallo. Esta persona solo agregó $4 a su saldo y podría haber probado la vulnerabilidad y recibir una recompensa, pero en lugar de eso informó a otros de la vulnerabilidad, quienes retiraron una gran cantidad de los fondos. Kraken exigió registros completos de su actividad y la devolución de los fondos, pero se negaron e intentaron extorsionarlos. Kraken está trabajando con las agencias de aplicación de la ley en el asunto, y Percoco enfatizó que la investigación de seguridad compatible debe cumplir con las reglas del programa de recompensas por errores, y que exceder las reglas y extorsionar es inaceptable.
