Kraken, el exchange de Cripto , dijo que los "investigadores de seguridad" que encontraron una vulnerabilidad en la plataforma recurrieron a la "extorsión" después de retirar alrededor de 3 millones de dólares de la tesorería del exchange.

Nick Percoco, director de seguridad de Kraken, dijo en una publicación en la plataforma de redes sociales X (anteriormente Twitter) que la empresa recibió una alerta de "programa de recompensas por errores" de un investigador de seguridad el 9 de junio sobre una vulnerabilidad que permite a los usuarios inflar artificialmente su saldo. . El error "permitió a un atacante malintencionado, en las circunstancias adecuadas, iniciar un depósito en nuestra plataforma y recibir fondos en su cuenta sin completar el depósito por completo", añadió Percoco.

Al recibir el informe, Kraken solucionó el problema rápidamente y los fondos de los usuarios no se vieron afectados, señaló Percoco.

Lo que vino después generó señales de alerta para el equipo de Kraken.

El investigador de seguridad, al encontrar el error, supuestamente se lo reveló a otras dos personas, quienes luego retiraron "fraudulentamente" casi $3 millones de sus cuentas de Kraken. "Esto procedía de las tesorerías de Kraken, no de otros activos de clientes", dijo Percoco.

El informe de error inicial no mencionaba las transacciones de los otros dos individuos, y cuando Kraken pidió más detalles de sus actividades, se negaron.

"En cambio, exigieron una llamada a su equipo de desarrollo comercial (es decir, sus representantes de ventas) y no aceptaron devolver ningún fondo hasta que proporcionemos una cantidad especulada de dólares que este error podría haber causado si no lo hubieran revelado. Esto no es blanco -Hackear sombreros, ¡es extorsión!" Percoco escribió.

Kraken no reveló quiénes eran los investigadores, pero el editor de código blockchain, Certik, dijo posteriormente en una publicación en las redes sociales que encontró varias vulnerabilidades en el intercambio de Cripto .

Certik dijo que realizó "pruebas de varios días" y señaló que el error podría explotarse para crear Cripto por valor de millones de dólares. "Se pueden depositar millones de dólares en CUALQUIER cuenta de Kraken. Se puede retirar de la cuenta una gran cantidad de Cripto fabricadas (con un valor de más de 1 millón de dólares) y convertirlas en criptomonedas válidas. Peor aún, no se activaron alertas durante las pruebas de varios días. período", decía la publicación.

Sin embargo, Certik dijo que las cosas se pusieron feas después de la conversación inicial con Kraken. "El equipo de operaciones de seguridad de Kraken ha AMENAZADO a los empleados individuales de CertiK con reembolsar una cantidad INCORRECTA de Cripto en un tiempo IRRAZONABLE, incluso SIN proporcionar direcciones de pago", agregó la publicación X.

Los programas de recompensas por errores (utilizados por muchas empresas para fortalecer sus sistemas de seguridad) invitan a piratas informáticos externos, conocidos como "sombrero blanco", a encontrar vulnerabilidades para que la empresa pueda solucionarlas antes de que un actor malicioso las explote. El competidor de Kraken, Coinbase, tiene un programa similar para ayudar a alertar al intercambio de vulnerabilidades.

Para recibir la recompensa, el programa de Kraken requiere que un tercero encuentre el problema, explote la cantidad mínima necesaria para probar el error, devuelva los activos y proporcione detalles de la vulnerabilidad, dijo Kraken en una publicación de blog , y agregó que desde que los investigadores de seguridad Si no Síguenos estas reglas, no obtendrán la recompensa.

"Contratamos a estos investigadores de buena fe y, en línea con una década de ejecutar un programa de recompensas por errores, ofrecimos una recompensa considerable por sus esfuerzos. Estamos decepcionados por esta experiencia y ahora estamos trabajando con las agencias policiales para recuperar los activos de estos investigadores de seguridad", dijo un portavoz de Kraken a CoinDesk.

Sigue leyendo: Su proyecto Cripto necesita un sheriff, no un cazarrecompensas

ACTUALIZACIÓN (19 de junio, 18:30 UTC): actualiza la historia para agregar los comentarios de Certik.