El director de seguridad del intercambio de criptomonedas Kraken, Nick Percoco, compartió una publicación en la plataforma de redes sociales X, informando que el 9 de junio, se recibió una alerta del programa Bug Bounty de un investigador de seguridad. La alerta, recibida por correo electrónico, no proporcionó detalles específicos, pero mencionó el descubrimiento de una vulnerabilidad "extremadamente crítica" que podría potencialmente inflar artificialmente el equilibrio de la plataforma.
Kraken identificó y solucionó una vulnerabilidad que podría permitir a un actor malintencionado recibir potencialmente fondos en su cuenta sin completar el proceso de depósito completo. El problema surgió de una actualización reciente de la experiencia del usuario (UX) que permitió acreditar las cuentas de los clientes antes de que sus activos se hubieran liquidado por completo, lo que facilitó el comercio en tiempo real de los mercados de criptomonedas. Este cambio de UX específico no se había probado adecuadamente contra tales vectores de ataque potenciales.
Además, se descubrió que tres cuentas habían explotado esta vulnerabilidad en un corto período de tiempo. Tras realizar una investigación exhaustiva, se determinó que una de estas cuentas pertenecía al investigador de seguridad que inicialmente identificó el error en el sistema y lo informó.
El "investigador de seguridad" luego compartió detalles de este error con dos asociados. Juntas, estas tres cuentas lograron retirar casi 3 millones de dólares de las cuentas de Kraken, específicamente de las tesorerías de Kraken y no de los activos de los clientes. Después de que Kraken se acercó a los investigadores de seguridad para discutir la recompensa por descubrir una falla de seguridad a través de su programa Bug Bounty, los investigadores se negaron a devolver fondos hasta que el intercambio estimara el impacto financiero potencial del error si no se hubiera informado.
Nick Percoco enfatizó que el incidente fue percibido como una extorsión y no como una actividad legítima de piratería informática, aunque no reveló el nombre de la empresa de investigación involucrada. Además, señaló que Kraken considera un incidente de este tipo como un asunto penal y tiene la intención de colaborar con las fuerzas del orden según corresponda.
Para ser claros, los activos de ningún cliente estuvieron nunca en riesgo. Sin embargo, un atacante malintencionado podría imprimir activos en su cuenta Kraken durante un período de tiempo.
– Nick Percoco (@c7five) 19 de junio de 2024
El programa Kraken Bug Bounty protege a los usuarios de criptomonedas y reconoce 22 informes en 2023
Kraken permite el comercio de criptomonedas frente a monedas fiduciarias. Además, ofrece servicios para el comercio de futuros y derivados de criptomonedas. Según información de CoinMarketCap, Kraken ocupa la sexta posición entre los intercambios globales de criptomonedas, con un volumen de operaciones diario promedio de alrededor de $741 millones.
El programa Bug Bounty respalda la misión de Kraken de proteger a los usuarios en el mercado de las criptomonedas. Kraken se compromete a abstenerse de emprender acciones legales contra los investigadores de seguridad que cumplan con todas las políticas de Kraken Bug Bounty. Las presentaciones a la iniciativa son evaluadas por Kraken, con pagos determinados por la gravedad del error y emitidos en BTC. En 2023, el programa ha reconocido 22 informes de un total de 461 presentaciones.
La publicación Kraken de Crypto Exchange chantajeado después del informe de recompensas por errores, $ 3 millones retirados de los activos del Tesoro apareció por primera vez en Metaverse Post.
