Kraken, la bolsa con sede en EE. UU., perdió casi 3 millones de dólares en su tesorería después de que una empresa de seguridad anónima explotara un error en su plataforma. El director de seguridad, Nick Percoco, reveló esto en una publicación en X, afirmando que la empresa de seguridad se negó a devolver los fondos y ahora exige un pago mayor como recompensa.

Lea también: Crypto Exchange DMM Bitcoin promete pagar a los usuarios después del hack de 300 millones de dólares

En respuesta, Kraken ha elevado el asunto a las agencias policiales y lo tratará como un delito. Sin embargo, los usuarios no tienen que preocuparse, ya que el intercambio afirma que ya resolvió la vulnerabilidad y que ninguna cuenta de usuario se ha visto afectada.

El error Kraken permite imprimir dinero

Según Percoco, un investigador de seguridad alertó a Kraken sobre un error crítico a través de su programa Bug Bounty el 9 de junio. Tras investigaciones internas, el equipo de seguridad del intercambio descubrió una vulnerabilidad que podría permitir a un mal actor iniciar un depósito en su cuenta de Kraken y recibir el fondos sin completar el depósito. Un atacante malicioso podría imprimir millones de la nada mediante este exploit.

Él explicó:

“Descubrimos un error aislado. Esto permitió que un atacante malintencionado, en las circunstancias adecuadas, iniciara un depósito en nuestra plataforma y recibiera fondos en su cuenta sin completar el depósito”.

El equipo de seguridad interna mitigó el problema en 47 minutos y lo solucionó por completo al cabo de unas horas. Sin embargo, la empresa descubrió que el error se debía a un cambio reciente en su UX que permitía acreditar las cuentas de los clientes antes de que se liquidaran sus activos. Aunque el cambio se integró para permitir el comercio instantáneo, no se probó completamente contra este tipo de riesgo.

Sin embargo, Percoco agregó que el incidente no afectó los activos de los usuarios y que las vulnerabilidades solo afectaron la tesorería de Kraken.

Los investigadores de seguridad son criminales.

Mientras tanto, un análisis de la vulnerabilidad encontró que tres cuentas explotaron la falla, y una de esas cuentas estaba registrada bajo el nombre del investigador de seguridad que inicialmente se comunicó con el intercambio.

Lea también: Kraken considera eliminar el USDT de la lista en respuesta a las nuevas regulaciones de la UE

Si bien la cuenta del investigador solo usó la falla para acreditarse $4, suficiente para demostrar que el error era real, las otras dos cuentas retiraron casi $3 millones de sus cuentas Kraken usando el mismo exploit. Curiosamente, estas cuentas estaban asociadas con asociados del investigador de seguridad.

Kraken explicó que sus intentos de recuperar los fondos han sido inútiles ya que los investigadores ahora piden un pago más alto que creen que es proporcional al riesgo del error.

Percoco describió esto como un acto de extorsión, lo que contradice el principio detrás del programa Bug Bounty. Agregó que violar esas reglas que otorgan a los piratas informáticos de sombrero blanco la licencia para piratear convierte a los investigadores de seguridad en delincuentes, y el intercambio los trata como tales.