19 czerwca serwis PANews poinformował, że główny specjalista ds. bezpieczeństwa Kraken, Nick Percoco, ujawnił na Twitterze, że 9 czerwca otrzymał raport o podatności od badacza bezpieczeństwa, w którym twierdził, że odkrył „niezwykle poważną” lukę, która może sztucznie zwiększyć saldo kont. Dochodzenie wykazało, że niedawne zmiany w doświadczeniu użytkownika (UX) spowodowały, że system przyznał środki przed zakończeniem wpłaty, co umożliwiło atakującym zawyżenie salda konta. Chociaż aktywa klientów nie były zagrożone, luka umożliwiała atakującym „wytwarzanie” środków przez pewien okres czasu. Kraken załatał lukę w ciągu około godziny (47 minut) i odkrył, że wykorzystały ją trzy konta do wypłacenia prawie 3 milionów dolarów ze skarbców Krakena, z których jedna należała do badacza, który pierwotnie zgłosił lukę. Osoba ta dodała tylko 4 dolary do swojego salda i mogła udowodnić lukę w zabezpieczeniach i otrzymać nagrodę, ale zamiast tego poinformowała innych o luce, którzy wycofali dużą kwotę środków. Kraken zażądał pełnej dokumentacji swojej działalności i zwrotu środków, lecz odmówili i podjęli próbę wymuszenia. Kraken współpracuje w tej sprawie z organami ścigania, a Percoco podkreśliło, że badania bezpieczeństwa zgodne z przepisami powinny być zgodne z zasadami programu bug bounty, a przekraczanie zasad i wyłudzanie pieniędzy jest niedopuszczalne.