Kraken afirma que los hackers recurrieron a la extorsión tras explotar un fallo y obtener 3 millones de dólares

• Kraken dijo que investigadores de seguridad externos encontraron una vulnerabilidad, que fue solucionada por el intercambio de Cripto .
• Los investigadores retiraron en secreto casi 3 millones de dólares y se negaron a devolverlos sin ver primero el monto de la recompensa, dijo Kraken.
• Certik, editor de código blockchain, dijo que encontró una vulnerabilidad en la plataforma de Kraken y afirma haber sido "amenazado" por el intercambio.

La plataforma de intercambio de Cripto Kraken dijo que los "investigadores de seguridad" que encontraron una vulnerabilidad en la plataforma recurrieron a la "extorsión" después de retirar alrededor de 3 millones de dólares de la tesorería de la plataforma.

Nick Percoco, director de seguridad de Kraken, declaró en una publicación en la plataforma de redes sociales X (anteriormente Twitter) que la empresa recibió una alerta de un investigador de seguridad el 9 de junio sobre una vulnerabilidad que permite a los usuarios inflar artificialmente su saldo. El error "permitió a un atacante malicioso, en las circunstancias adecuadas, iniciar un depósito en nuestra plataforma y recibir fondos en su cuenta sin completarlo", añadió Percoco.

Al recibir el informe, Kraken solucionó el problema rápidamente y ningún fondo de los usuarios se vio afectado, señaló Percoco.

Lo que vino después levantó sospechas para el equipo de Kraken.

El investigador de seguridad, al encontrar el fallo, supuestamente se lo comunicó a otras dos personas, quienes posteriormente retiraron fraudulentamente casi 3 millones de dólares de sus cuentas en Kraken. «Esto provenía de las tesorerías de Kraken, no de otros activos de clientes», declaró Percoco.

El informe de error inicial no mencionó las transacciones de los otros dos individuos, y cuando Kraken solicitó más detalles de sus actividades, se negaron.

En cambio, exigieron una llamada con su equipo de desarrollo comercial (es decir, sus representantes de ventas) y no han accedido a devolver los fondos hasta que les proporcionemos una cantidad especulativa de dólares que este error podría haber causado si no lo hubieran revelado. ¡Esto no es piratería informática, es extorsión!, escribió Percoco.

Kraken no reveló quiénes fueron los investigadores, pero el editor de código blockchain Certik dijo posteriormente en un publicación en redes sociales que encontró varias vulnerabilidades en el intercambio de Cripto .

Certik afirmó haber realizado pruebas de varios días y señaló que el fallo podría explotarse para crear millones de dólares en Cripto. "Se pueden depositar millones de dólares en cualquier cuenta de Kraken. Se puede retirar una gran cantidad de Cripto inventadas (con un valor superior a 1 millón de dólares) de la cuenta y convertirlas en criptomonedas válidas. Peor aún, no se activó ninguna alerta durante los días de prueba", decía la publicación.

Sin embargo, Certik afirmó que la situación se complicó tras la conversación inicial con Kraken. "El equipo de operaciones de seguridad de Kraken ha amenazado a empleados individuales de Certik con reembolsar una cantidad de Cripto que no coincide en un plazo irrazonable, incluso sin proporcionar las direcciones de pago", añadió la publicación de X.

Los programas de recompensas por errores, utilizados por muchas empresas para reforzar sus sistemas de seguridad, invitan a hackers externos, conocidos como "sombrero blanco", a encontrar vulnerabilidades para que la empresa pueda corregirlas antes de que un actor malicioso las explote. El competidor de Kraken, Coinbase, tiene unprograma similarpara ayudar a alertar sobre el intercambio de vulnerabilidades.

Para recibir la recompensa, el programa de Kraken requiere que un tercero encuentre el problema, explote la cantidad mínima necesaria para probar el error, devuelva los activos y proporcione detalles de la vulnerabilidad, dijo Kraken en un comunicado.entrada de blog, añadiendo que como los investigadores de seguridad no Síguenos estas reglas, no obtendrán la recompensa.

"Contratamos a estos investigadores de buena fe y, tras una década de experiencia con un programa de recompensas por errores, ofrecimos una recompensa considerable por sus esfuerzos. Estamos decepcionados por esta experiencia y ahora estamos trabajando con las fuerzas del orden para recuperar los activos de estos investigadores de seguridad", declaró un portavoz de Kraken a CoinDesk.

Sigue leyendo: Su proyecto de Cripto necesita un sheriff, no un cazarrecompensas

ACTUALIZACIÓN (19 de junio, 18:30 UTC):Actualiza la historia para agregar los comentarios de Certik.