Kraken recupera $3 millones en fondos faltantes después de la explotación de Bug Bounty

Kraken recupera $3 millones en fondos faltantes después de la explotación de Bug Bounty

El exchange de criptomonedas Kraken ha recuperado con éxito casi 3 millones de dólares en activos digitales tras un exploit de recompensa por errores de alto perfil realizado por CertiK. Nicholas Percoco, director de seguridad de Kraken, confirmó la recuperación en una publicación del 20 de junio en X, afirmando: "Actualización: ahora podemos confirmar que los fondos han sido devueltos (menos una pequeña cantidad perdida por tarifas)". Este anuncio se produjo después de que Percoco revelara inicialmente la desaparición de los fondos el 19 de junio, atribuyendo el incidente a un "investigador de seguridad" que había explotado un error.

Kraken alegó que el investigador de seguridad había extorsionado al intercambio, negándose a devolver los fondos sin una recompensa. La empresa de seguridad blockchain CertiK pronto se identificó como el "investigador de seguridad" involucrado en el incidente. En una publicación X del 19 de junio, CertiK detalló que había informado a Kraken sobre un exploit que permitió el retiro de millones de las cuentas del intercambio. CertiK afirmó además que Kraken había amenazado a sus empleados con reembolsar la cantidad no coincidente de criptomonedas en un plazo irrazonable, sin proporcionar direcciones de pago.

La saga planteó dudas sobre la necesidad del retiro de casi 3 millones de dólares. Percoco inicialmente señaló que una simple transferencia de $4 habría sido suficiente para probar el error y calificar para una recompensa considerable del programa de recompensas de Kraken. Sin embargo, CertiK defendió sus acciones y explicó que la gran suma era parte de un esfuerzo para probar los límites de los controles de seguridad y riesgos de Kraken. "Queremos probar el límite de la protección y los controles de riesgo de Kraken. Después de múltiples pruebas durante varios días y cerca de $3 millones en criptomonedas, no se activaron alertas y todavía no hemos descubierto el límite", afirmó CertiK.

CertiK también aclaró que inicialmente no solicitó una recompensa; en cambio, Kraken había mencionado la recompensa primero. "Nunca mencionamos ninguna solicitud de recompensa. Fue Kraken quien primero nos mencionó su recompensa, mientras que respondimos que la recompensa no era el tema prioritario y queríamos asegurarnos de que el problema se solucionara", explicó CertiK. Agregaron que ningún fondo de usuario de Kraken estaba en riesgo ya que los fondos explotados fueron "acuñados del aire".