Kraken, el exchange de criptomonedas, se encuentra bajo una supuesta extorsión después de que un equipo de investigadores aprovechara un bug para robar $3 millones de la plataforma antes de reportarlo al departamento de seguridad.
Contenido:
Recapitulación de los hechos
Nick Percoco, Jefe de Seguridad de Kraken, aprovechó su perfil en X para hacer un resumen de los acontecimientos suscitados entre el equipo de investigadores y el exchange de criptomonedas:
En el hilo, Percoco declara que, el pasado 9 de junio, Kraken recibió un correo por parte de un equipo de investigadores de terceros que informó sobre el hallazgo de un bug de seguridad “extremadamente crítico” que permitía inflar artificialmente los balances en las cuentas.
Manejo del bug
Percoco explicó que el bug fue descubierto y aislado en cuestión de minutos y confirmó que, a través de un él, un usuario podía iniciar un depósito en Kraken y recibir los fondos en su cuenta antes de completar el proceso.
Según lo expuesto, la vulnerabilidad fue atendida y resuelta por el equipo de seguridad del exchange de criptomonedas en unas pocas horas. Sin embargo, al investigar a profundidad el incidente, se descubrió que tres cuentas habían aprovechado el bug antes de ser parcheado.
Investigadores roban $3 millones del exchange
En relación, Percoco indicó que una de las cuentas involucradas estaba vinculada con el proceso KYC de uno de los individuos que se presentó como parte del equipo de investigadores que reportó el bug originalmente.
La investigación reveló que la cuenta del investigador había generado artificialmente $4 aprovechando la vulnerabilidad, lo cual habría sido suficiente para demostrar la veracidad del reporte enviado.
Sin embargo, parece ser que, antes de alertar a Kraken, el investigador habría compartido la información con otros dos usuarios, los cuales la emplearon para generar fraudulentamente cerca de $3 millones que fueron extraídos de las arcas del exchange de criptomonedas.
Kraken se comunica con los investigadores
Debido a que el reporte del bug no incluyó los datos de transacción en el correo original, el equipo de Kraken intentó establecer comunicación para confirmar detalles adicionales e iniciar el proceso de recompensa.
Dentro de este contexto, cabe mencionar que muchas plataformas en línea cuentan con programas pensados para recompensar a los programadores e investigadores que puedan identificar y reportar una vulnerabilidad existente.
No obstante, Percoco declaró que el equipo respondió exigiendo comunicarse con el departamento de desarrollo comercial, además de advertir que no devolverían los fondos robados hasta que Kraken les proporcione una recompensa en base al alcance que habría tenido el bug en caso de no haber sido reportado.
“No son hackers de sombrero blanco, son criminales”, dice Percoco
En vista de lo ocurrido, el Jefe de Seguridad de Kraken calificó como “criminales” al equipo de investigadores de terceros, ya que estos no respetaron las “reglas” bajo las que operan los llamados “hackers de sombre blanco” (whitehats):
En consecuencia, Percoco informó que Kraken ha decidido no revelar cuál es la empresa a la que pertenecen los investigadores que reportaron el bug y tratar el asunto como una caso penal, por lo buscarán coordinación con las autoridades respectivas.
