Kraken revela que un error permitió a investigadores de seguridad deshonestos explotar $3 millones

Kraken, la plataforma de intercambio estadounidense, perdió casi 3 millones de dólares de su tesorería después de que una empresa de seguridad anónima explotara un fallo en su plataforma. El director de seguridad, Nick Percoco, reveló esto en una publicación en X, afirmando que la empresa de seguridad se ha negado a devolver los fondos y ahora exige una recompensa mayor.

Lea también: El exchange de criptomonedas DMM Bitcoin promete reembolsar a los usuarios tras el hackeo de $300 millones

En respuesta, Kraken ha escalado el asunto a las fuerzas del orden y lo tratará como un delito. Sin embargo, los usuarios no tienen de qué preocuparse, ya que el exchange afirma que ya ha solucionado la vulnerabilidad y que ninguna cuenta de usuario se ha visto afectada.

Un error de Kraken permite la impresión de dinero

Según Percoco, un investigador de seguridad alertó a Kraken sobre un error crítico a través de su programa de recompensas por errores el 9 de junio. Tras investigaciones internas, el equipo de seguridad del exchange descubrió una vulnerabilidad que podría permitir a un atacante iniciar un depósito en su cuenta de Kraken y recibir los fondos sin completarlo. Un atacante malicioso podría obtener millones de la nada mediante este exploit.

Él explicó:

Descubrimos un error aislado. Este permitía a un atacante malicioso, en las circunstancias adecuadas, iniciar un depósito en nuestra plataforma y recibir fondos en su cuenta sin completarlo por completo

El equipo de seguridad interna mitigó el problema en 47 minutos y lo solucionó por completo tras unas horas. Sin embargo, la empresa descubrió que el error se debía a un cambio reciente en su experiencia de usuario (UX) que permitía abonar las cuentas de los clientes antes de que se liquidaran sus activos. Si bien el cambio se integró para permitir la negociación instantánea, no se probó completamente contra este tipo de riesgo.

Sin embargo, Percoco agregó que eldent no afectó los activos de los usuarios y que las explotaciones de la vulnerabilidad solo afectaron la tesorería de Kraken.

Los investigadores de seguridad son criminales

Mientras tanto, un análisis de la vulnerabilidad encontró que tres cuentas explotaron la falla y una de esas cuentas estaba registrada bajo el nombre del investigador de seguridad que inicialmente contactó al exchange.

Lea también: Kraken considera retirar USDT de su lista en respuesta a las nuevas regulaciones de la UE

Si bien la cuenta del investigador solo aprovechó la falla para obtener $4, suficiente para demostrar que el error era real, las otras dos cuentas retiraron casi $3 millones de sus cuentas de Kraken usando el mismo exploit. Curiosamente, estas cuentas estaban asociadas con colaboradores del investigador de seguridad.

Kraken explicó que sus intentos de recuperar los fondos han sido inútiles ya que los investigadores ahora piden un pago mayor que consideran proporcional al riesgo del error.

Percoco describió esto como un acto de extorsión, lo cual contradice el principio del programa Bug Bounty. Añadió que violar las reglas que otorgan a los hackers de sombrero blanco la licencia para hackear convierte a los investigadores de seguridad en delincuentes, y la plataforma los trata como tales.