El exchange de criptomonedas Kraken reveló que un investigador de seguridad anónimo aprovechó una falla de día cero «extremadamente crítica» en su plataforma para robar $3 millones en activos digitales y se negó a devolverlos.
Los detalles del incidente fueron compartido por el director de seguridad de Kraken, Nick Percoco, en X (anteriormente Twitter), indicando que recibió una alerta del programa Bug Bounty sobre un error que «les permitió inflar artificialmente su saldo en nuestra plataforma» sin compartir ningún otro detalle.
La compañía dijo que identificó un problema de seguridad a los pocos minutos de recibir la alerta que esencialmente permitió a un atacante «iniciar un depósito en nuestra plataforma y recibir fondos en su cuenta sin completar el depósito».
Si bien Kraken enfatizó que los activos de ningún cliente estaban en riesgo de sufrir el problema, podría haber permitido a un actor de amenazas imprimir activos en sus cuentas. El problema se solucionó en 47 minutos, afirmó.
También dijo que la falla se debió a un cambio reciente en la interfaz de usuario que permite a los clientes depositar fondos y usarlos antes de que sean liquidados.
Además de eso, una investigación más exhaustiva descubrió el hecho de que tres cuentas, incluida una perteneciente al supuesto investigador de seguridad, habían explotado la falla con unos pocos días de diferencia entre sí y desviaron 3 millones de dólares.
«Este individuo descubrió el error en nuestro sistema de financiación y lo aprovechó para acreditar en su cuenta 4 dólares en criptomonedas», dijo Percoco. «Esto habría sido suficiente para probar la falla, presentar un informe de recompensa por errores a nuestro equipo y cobrar una recompensa muy considerable según los términos de nuestro programa».
«En cambio, el ‘investigador de seguridad’ reveló este error a otras dos personas con las que trabaja y que generaron fraudulentamente sumas mucho mayores. Finalmente retiraron casi $3 millones de sus cuentas de Kraken. Esto fue de las tesorerías de Kraken, no de otros activos de clientes».
En un extraño giro de los acontecimientos, cuando Kraken se acercó para compartir su exploit de prueba de concepto (PoC) utilizado para crear la actividad en cadena y organizar la devolución de los fondos que habían retirado, exigieron que el La empresa se pone en contacto con su equipo de desarrollo empresarial para pagar una cantidad fija a fin de liberar los activos.
«Esto no es un hackeo de sombrero blanco, es una extorsión», afirmó Percoco, instando a las partes interesadas a devolver los fondos robados.
El nombre de la compañía no fue revelado, pero Kraken dijo que está tratando el evento de seguridad como un caso criminal y que está coordinando con las agencias policiales sobre el asunto.
«Como investigador de seguridad, su licencia para ‘hackear’ una empresa se habilita siguiendo las reglas simples del programa de recompensas por errores en el que participa», señaló Percoco. «Ignorar esas reglas y extorsionar a la empresa revoca su ‘licencia para piratear’. Te convierte a ti y a tu empresa en criminales».