Kraken, uno de los corredores de criptomonedas más grandes del mundo, reveló que había encontrado un error crítico en su plataforma. En resumen, la vulnerabilidad permitió a los piratas informáticos imprimir dinero en sus cuentas.
La información fue presentada por Nick Percoco, director de seguridad de Kraken, este miércoles (19).
"Descubrimos un error aislado", escribió Percoco. "Esto permitió a un atacante malintencionado, en las circunstancias adecuadas, iniciar un depósito en nuestra plataforma y recibir fondos en su cuenta sin completarlo por completo".
“Para ser claros, los activos de ningún cliente estaban en riesgo. Sin embargo, un atacante malintencionado podría "imprimir" efectivamente activos en su cuenta Kraken durante un período de tiempo".
A continuación, el ejecutivo de Kraken destaca que la falla se solucionó en 47 minutos y, por lo tanto, ya no representa ninguna amenaza.
Kraken proporciona más detalles sobre la vulnerabilidad
Al explicar la situación, Kraken reveló que el error estaba relacionado con un cambio reciente en su sitio web que permitía a sus usuarios intercambiar criptomonedas antes de que se confirmaran los depósitos.
En total, tres cuentas habrían abusado de la falla, una de ellas estaba a nombre del hacker que envió el informe al corredor.
"Este individuo descubrió el error en nuestro sistema de financiación y lo utilizó para acreditar en su cuenta 4 dólares en criptomonedas", escribió Kraken. "Sin embargo, este 'investigador de seguridad' reveló este error a otras dos personas con las que trabaja, quienes de manera fraudulenta generaron sumas mucho mayores".
Aquí es donde la historia se vuelve aún más interesante. Esto se debe a que el corredor y los piratas informáticos tuvieron una disputa.
Kraken acusa a los piratas informáticos de extorsión
La vulnerabilidad fue reportada al intercambio a través de su programa de recompensas por errores. Según la página de Kraken, los premios varían entre 500 y 1,5 millones de dólares, dependiendo de la gravedad del fallo.
Sin embargo, Nick Percoco afirma que los piratas informáticos no revelaron datos sobre las otras dos cuentas que recaudaron 3 millones de dólares. Posteriormente, el director de seguridad de Kraken señala que los piratas informáticos no aceptaron los términos del programa, sino que impusieron otros nuevos.
"Exigieron una llamada a su equipo de desarrollo empresarial", escribió Percoco. "No han aceptado devolver ningún fondo hasta que les proporcionemos una cantidad especulada en dólares que este error podría haber causado si no lo hubieran revelado".