Kraken, el intercambio de criptomonedas estadounidense, reveló recientemente que un hacker que afirma ser un investigador de seguridad aprovechó una vulnerabilidad grave en su plataforma para robar activos digitales por valor de 3 millones de dólares y los está "extorsionando". El investigador informó sobre la vulnerabilidad el 9 de junio, pero la aprovechó para retirar fondos de la tesorería de Kraken en lugar de asegurarlos.

Actualización de seguridad de Kraken: el 9 de junio de 2024, recibimos una alerta del programa Bug Bounty de un investigador de seguridad. Inicialmente, no se revelaron detalles, pero su correo electrónico afirmaba haber encontrado un error "extremadamente crítico" que les permitía inflar artificialmente su saldo en nuestra plataforma.

— Nick Percoco (@c7five) 19 de junio de 2024

El jefe de seguridad de Kraken, Nick Percoco, reveló que el investigador y dos de sus cuentas asociadas explotaron la falla para retirar más de $3 millones. Tras el exploit, los investigadores exigieron una recompensa por los fondos robados antes de aceptar devolverlos. Percoco dijo en una publicación de X del 19 de junio que el comportamiento no era piratería de sombrero blanco sino extorsión.

En respuesta a estos incidentes, Kraken enfatizó que la criptomoneda robada provenía de su tesorería de intercambio y que ningún fondo de los usuarios se vio afectado.

En este sentido, la empresa de auditoría de seguridad CertiK admitió directamente en la plataforma X que los investigadores de vulnerabilidades de seguridad mencionados por Kraken eran los piratas informáticos de sombrero blanco de CertiK. CertiK argumentó que después del éxito inicial en identificar y remediar la vulnerabilidad, el equipo de operaciones de seguridad de Kraken amenazó a los empleados individuales de CertiK con reembolsar cantidades de criptomonedas no coincidentes en un período de tiempo irrazonable, incluso sin proporcionar una dirección de pago.

CertiK identificó recientemente una serie de vulnerabilidades críticas en el intercambio @krakenfx que podrían potencialmente generar cientos de millones de dólares en pérdidas. Comenzando con un hallazgo en el sistema de depósito de @krakenfx donde puede fallar en diferenciar entre diferentes… pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) 19 de junio de 2024

Sin embargo, cuando la comunidad comenzó a seguir este incidente en profundidad, se descubrió que después de que el atacante robó fondos de Kraken, en realidad depositó algunos de los fondos en una mezcladora. Esto no parecía ser un comportamiento normal para un sombrero blanco limpio. hacker.

Solo estoy probando algunos depósitos de efectivo de Tornado después de probar la función de retiro de Kraken. Es necesario asegurarse de que aún funciona. pic.twitter.com/PL4zi7GzSW

– Spreek (@spreekaway) 19 de junio de 2024

Además, el detective en cadena 0xBoboShanti también señaló que la dirección previamente publicada públicamente por un investigador de seguridad de Certik fue detectada y probada ya el 27 de mayo, lo que es inconsistente con el cronograma del evento mayorista de Certik.

Este incidente aún no ha concluido, pero a juzgar por toda la información, la dirección general del viento es bastante desfavorable para CertiK.

¿Esta empresa de auditoría de artículos insiste en el robo? CertiK acusado de explotar la vulnerabilidad de Kraken Exchange y chantaje malicioso apareció por primera vez en Zombit.