Selon Techub News, Nick Percoco, responsable de la sécurité de Kraken, a révélé dans un message que l'équipe Kraken avait reçu une alerte de bug bounty le 9 juin, affirmant qu'une vulnérabilité « extrêmement grave » avait été découverte. La vulnérabilité permet à un attaquant d'augmenter le solde du compte sans effectuer de dépôt. L'équipe Kraken a corrigé la vulnérabilité en une heure, mais a découvert que trois comptes avaient exploité la vulnérabilité, dont l'un prétendait être un « chercheur en sécurité » dans ses informations KYC. Le « chercheur » a exploité la vulnérabilité pour déposer 4 $ en crypto-monnaie sur son compte et a soumis un rapport de bug bounty. Le « chercheur » a ensuite révélé la vulnérabilité à deux autres personnes travaillant avec eux, qui ont retiré près de 3 millions de dollars du trésor de Kranken. Kraken a demandé en vain le retour des fonds, qualifiant ses actions d'extorsion, traitant l'affaire comme une affaire pénale et se coordonnant avec les forces de l'ordre.