Kraken, un importante intercambio mundial de criptomonedas, recientemente atravesó un importante desafío de seguridad. Un investigador de seguridad alertó a la plataforma sobre una vulnerabilidad crítica que podría haber permitido la creación no autorizada de activos digitales. Este incidente subraya los desafíos actuales que enfrentan las plataformas de activos digitales para mantener medidas de seguridad sólidas.

Al recibir el aviso, el equipo de seguridad de Kraken investigó rápidamente el asunto, distinguiéndolo de las falsas alarmas comunes. El error identificado fue particularmente grave: permitió a los usuarios registrar depósitos y recibir los créditos correspondientes en sus cuentas sin la transferencia real de fondos. 

Esta falla, que se originó en una reciente actualización de la experiencia del usuario que acreditaba prematuramente las cuentas de los usuarios antes de la confirmación del depósito, planteaba un riesgo hipotético de "imprimir" activos digitales de la nada.

Implicaciones y acciones tomadas

La investigación reveló que sólo tres cuentas explotaron el error, incluida la del denunciante. Si bien el investigador demostró el exploit creando una cantidad nominal de criptomoneda, no informaron oficialmente esto a través del programa Bug Bounty de Kraken. 

En cambio, revelaron el método a otras dos partes, quienes luego explotaron la vulnerabilidad para extraer millones en criptomonedas, lo que culminó en retiros no autorizados por un total de aproximadamente $3 millones.

Nick Percoco, director de seguridad de Kraken, señaló el desafío de manejar la situación dado el informe inicial incompleto que carecía de detalles cruciales de la transacción. 

Actualización de seguridad de Kraken: el 9 de junio de 2024, recibimos una alerta del programa Bug Bounty de un investigador de seguridad. Inicialmente no se revelaron detalles, pero su correo electrónico afirmaba haber encontrado un error "extremadamente crítico" que les permitió inflar artificialmente su saldo en nuestra plataforma.

– Nick Percoco (@c7five) 19 de junio de 2024

El diálogo con los investigadores se estancó cuando exigieron un rescate en lugar de devolver los fondos, proponiendo un pago basado en el daño financiero potencial que el error podría haber causado. 

Kraken, calificando estas demandas como extorsión, se ha negado a nombrar públicamente a la empresa de seguridad involucrada y está emprendiendo acciones legales, tratando el asunto como un caso penal. La empresa aseguró a los usuarios que ningún activo del cliente se vio comprometido en ningún momento.