Nick Percoco, director de seguridad del principal intercambio de criptomonedas, Kraken, ha revelado que un grupo de piratas informáticos de sombrero blanco no revelado se ha negado a devolver activos digitales por valor de aproximadamente 3 millones de dólares, que robaron de la tesorería de la plataforma explotando un error en su sistema.

En una serie de publicaciones X, Percoco dijo que los investigadores de seguridad exigen que el intercambio de cifrado proporcione una cantidad especulada de dinero que podría haber perdido si no hubieran revelado el error antes de poder devolver los fondos robados.

Investigadores de seguridad revelan un error en Kraken

Según Percoco, un investigador de seguridad envió una alerta del programa Bug Bounty a Kraken el 9 de junio, afirmando que habían encontrado un error "extremadamente crítico" que permitía a los usuarios inflar artificialmente su saldo en la plataforma. Si bien el intercambio desconfiaba de recibir múltiples informes falsos de recompensas por errores diariamente, se tomó el reclamo en serio y reunió un equipo para investigar el problema.

El equipo encontró un error que permitía a los ciberdelincuentes iniciar depósitos en Kraken y recibir fondos en sus cuentas sin completar los depósitos. Aunque el error no puso en riesgo los fondos de los clientes, un atacante podría imprimir activos en sus cuentas y realizar retiros que podrían extraerse de la tesorería de Kraken.

El problema quedó contenido en menos de dos horas de identificarlo. El equipo descubrió que el error se debía a una falla en la última experiencia de usuario (UX) de Kraken. Tras una mayor investigación, Kraken descubrió que tres cuentas ya habían explotado la falla. Una cuenta estaba vinculada a un usuario que afirmaba ser un investigador de seguridad.

Resulta que el investigador encontró el error primero, lo aprovechó para acreditar su cuenta Kraken con $4 en criptografía y, en lugar de presentar un informe de recompensa por error al equipo apropiado, informó a sus dos colegas, quienes explotaron la falla para obtener sumas mayores. En conjunto, retiraron aproximadamente 3 millones de dólares en criptomonedas de sus cuentas.

Bug Bounty se convirtió en extorsión

Cuando Kraken se puso en contacto con los investigadores de seguridad y solicitó un informe de sus actividades y la devolución de los activos que retiraron, se negaron. Calificaron a Kraken de irrazonable y poco profesional y exigieron que la plataforma proporcionara una estimación del daño que el error podría haber causado.

Percoco dijo que Kraken ha llevado el caso a las agencias policiales porque se trata de extorsión.

“Estamos tratando esto como un caso penal y estamos coordinando con las autoridades en consecuencia. Estamos agradecidos de que se haya informado de este problema, pero ahí es donde termina ese pensamiento”, afirmó Percoco.

La publicación Los piratas informáticos de sombrero blanco se niegan a devolver $ 3 millones robados del tesoro de Kraken apareció por primera vez en CryptoPotato.