Kraken, un intercambio de criptomonedas, informó recientemente del robo de casi 3 millones de dólares de sus cuentas debido a un error crítico. El problema, derivado de una falla introducida en una reciente actualización de la experiencia del usuario, permitió a los atacantes acreditar sus cuentas antes de que sus depósitos se liquidaran por completo.

Descubrimiento del error

Esta vulnerabilidad fue etiquetada como que permitía a usuarios malintencionados "imprimir activos" durante un período temporal. La brecha de seguridad se contuvo pocas horas después de su descubrimiento, según afirmó el director de seguridad de Kraken, Nick Percoco.

El error se informó por primera vez a Kraken a través de su programa de recompensas por errores el 9 de junio. Aunque el informe inicial carecía de información detallada, provocó una investigación inmediata por parte de Kraken.

Esta investigación descubrió un incidente aislado en el que una parte malintencionada podría iniciar un depósito incompleto para recibir fondos de manera fraudulenta. Percoco aclaró que la vulnerabilidad se produjo en condiciones específicas y no puso en riesgo directamente los activos de los clientes.

Kraken revela que fue explotado en X

Investigaciones posteriores sobre la integridad del sistema revelaron que la vulnerabilidad había sido explotada por tres cuentas distintas poco antes de que se informara oficialmente el error. Estas cuentas lograron desviar sumas sustanciales en una serie de transacciones que casualmente tuvieron lugar durante varios días.

Percoco reveló que la persona que informó el error había probado originalmente la falla acreditando su propia cuenta con $4, supuestamente para demostrar la existencia del error y asegurar una recompensa a través del programa de recompensas por errores.

Sin embargo, más tarde se supo que este individuo había compartido detalles de la vulnerabilidad con dos asociados en lugar de mantenerlos confidenciales. Luego, estos colaboradores retiraron casi 3 millones de dólares en total de Kraken, directamente de las reservas de la empresa.

Percoco enfatizó que estos fondos no provenían de cuentas de otros clientes. En respuesta a este incidente, Kraken exigió una explicación completa de sus actividades y la devolución de los fondos robados.

Sin embargo, las partes acusadas retuvieron los fondos y exigieron que Kraken revelara primero el alcance potencial del exploit si no se hubiera revelado.

Respuesta de Kraken y acciones legales

Esta situación se intensificó cuando los investigadores calificaron las solicitudes de Kraken de devolución de los fondos como "irrazonables" y "poco profesionales".

Como resultado, Kraken optó por no identificar públicamente a la empresa de investigación involucrada, citando el incumplimiento de los términos de la recompensa por errores y enmarcando sus acciones no sólo como poco éticas sino también criminales.

El intercambio ahora se está coordinando con las autoridades para abordar el problema como un caso penal, rechazando cualquier reconocimiento de la empresa involucrada debido a sus acciones.

Este desafortunado evento en Kraken se suma al panorama más amplio de vulnerabilidades de activos digitales, y los hackeos de criptomonedas aumentarán en 2024.

Desglose de pérdidas criptográficas por vulnerabilidad

Según el “Informe Crypto HackHub 2024” de Merkle Science, solo en el primer trimestre de 2024 los piratas informáticos robaron activos digitales por valor de 542,7 millones de dólares, lo que supone un aumento del 42% con respecto al mismo período en 2023.

La industria ha notado un cambio en la naturaleza de estas violaciones de seguridad, y las filtraciones de claves privadas ahora superan a las explotaciones de contratos inteligentes como la causa principal. Esta tendencia contrasta marcadamente con años anteriores, donde las vulnerabilidades en los contratos inteligentes eran más dominantes.

El informe también destacó una disminución significativa de las pérdidas debido a las vulnerabilidades de los contratos inteligentes, que cayeron un 92% a 179 millones de dólares en 2023, frente a los 2.600 millones de dólares en 2022. A pesar de esto, más del 55% de los activos digitales pirateados en 2023 se atribuyeron a claves privadas. filtraciones, lo que subraya un desafío de seguridad persistente dentro del sector de las criptomonedas.

En los últimos 13 años, la industria ha enfrentado 785 ataques y exploits reportados, con casi $19 mil millones perdidos, lo que indica una necesidad crítica de mejorar las medidas de seguridad en todos los ámbitos.

La publicación Los piratas informáticos explotan el error Kraken y roban casi $ 3 millones apareció por primera vez en Coinfomania.