El exchange de criptomonedas Kraken revel\u00f3 que un investigador de seguridad an\u00f3nimo aprovech\u00f3 una falla de d\u00eda cero “extremadamente cr\u00edtica” en su plataforma para robar $3 millones en activos digitales y se neg\u00f3 a devolverlos.<\/p>\n
Los detalles del incidente fueron compartido<\/a> por el director de seguridad de Kraken, Nick Percoco, en X (anteriormente Twitter), indicando que recibi\u00f3 una alerta del programa Bug Bounty sobre un error que “les permiti\u00f3 inflar artificialmente su saldo en nuestra plataforma” sin compartir ning\u00fan otro detalle.<\/p>\n La compa\u00f1\u00eda dijo que identific\u00f3 un problema de seguridad a los pocos minutos de recibir la alerta que esencialmente permiti\u00f3 a un atacante “iniciar un dep\u00f3sito en nuestra plataforma y recibir fondos en su cuenta sin completar el dep\u00f3sito”.<\/p>\n Si bien Kraken enfatiz\u00f3 que los activos de ning\u00fan cliente estaban en riesgo de sufrir el problema, podr\u00eda haber permitido a un actor de amenazas imprimir activos en sus cuentas. El problema se solucion\u00f3 en 47 minutos, afirm\u00f3.<\/p>\n Tambi\u00e9n dijo que la falla se debi\u00f3 a un cambio reciente en la interfaz de usuario que permite a los clientes depositar fondos y usarlos antes de que sean liquidados.<\/p>\n Adem\u00e1s de eso, una investigaci\u00f3n m\u00e1s exhaustiva descubri\u00f3 el hecho de que tres cuentas, incluida una perteneciente al supuesto investigador de seguridad, hab\u00edan explotado la falla con unos pocos d\u00edas de diferencia entre s\u00ed y desviaron 3 millones de d\u00f3lares.<\/p>\n “Este individuo descubri\u00f3 el error en nuestro sistema de financiaci\u00f3n y lo aprovech\u00f3 para acreditar en su cuenta 4 d\u00f3lares en criptomonedas”, dijo Percoco. “Esto habr\u00eda sido suficiente para probar la falla, presentar un informe de recompensa por errores a nuestro equipo y cobrar una recompensa muy considerable seg\u00fan los t\u00e9rminos de nuestro programa”.<\/p>\n “En cambio, el ‘investigador de seguridad’ revel\u00f3 este error a otras dos personas con las que trabaja y que generaron fraudulentamente sumas mucho mayores. Finalmente retiraron casi $3 millones de sus cuentas de Kraken. Esto fue de las tesorer\u00edas de Kraken, no de otros activos de clientes”.<\/p>\n En un extra\u00f1o giro de los acontecimientos, cuando Kraken se acerc\u00f3 para compartir su exploit de prueba de concepto (PoC) utilizado para crear la actividad en cadena y organizar la devoluci\u00f3n de los fondos que hab\u00edan retirado, exigieron que el La empresa se pone en contacto con su equipo de desarrollo empresarial para pagar una cantidad fija a fin de liberar los activos.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Kraken-Crypto-Exchange-sufre-un-robo-de-3-millones-de.png\")
<\/a><\/center><\/div>\n