Kraken, uno de los intercambios de criptomonedas más grandes del mundo, ha sido víctima de un hackeo que resultó en la pérdida de $3 millones. La vulnerabilidad fue descubierta por CertiK, que luego fue acusado de explotar la brecha para obtener ganancias.
El Hackeo y la Vulnerabilidad Descubierta
Kraken reveló que un investigador de seguridad explotó una falla «extremadamente crítica» en su plataforma para robar $3 millones en activos digitales y se negó a devolverlos. La vulnerabilidad permitía inflar artificialmente el saldo de la cuenta sin completar los depósitos.
Detalles del Incidente
El Chief Security Officer (CSO) de Kraken, Nick Percoco, compartió que la empresa recibió una alerta del programa de recompensas por errores de un investigador sobre un bug que permitía a los usuarios inflar su saldo en la plataforma. La vulnerabilidad permitía a un atacante «iniciar un depósito en la plataforma y recibir fondos en su cuenta sin completar el depósito». Este problema, derivado de un cambio reciente en la interfaz de usuario, fue solucionado en 47 minutos. A pesar de esto, tres cuentas, incluida la del investigador de seguridad, explotaron la falla para retirar $3 millones.
Roles de CertiK y Kraken en la Recuperación
CertiK, actuando inicialmente como un «hacker de sombrero blanco», descubrió la vulnerabilidad y la reportó. Sin embargo, luego se reveló que el investigador de CertiK compartió el bug con dos colegas, quienes retiraron grandes sumas fraudulentamente. Kraken afirmó que la actividad fue extorsión, mientras que CertiK defendió sus acciones diciendo que no se negaron a devolver los fondos y criticaron la respuesta de Kraken.
Acusaciones y Controversias
Kraken acusó a CertiK de extorsión al exigir una reunión con su equipo de desarrollo comercial para liberar los activos. CertiK, por su parte, alegó que Kraken amenazó a sus empleados para devolver una cantidad incorrecta de criptomonedas en un tiempo no razonable. La controversia entre ambas partes generó dudas sobre la ética en la investigación de seguridad.
Nuevos Detalles y Desarrollo del Caso
La investigación posterior al hackeo reveló que la vulnerabilidad fue explotada no solo en Kraken sino también en otros intercambios, lo que aumenta la importancia de las medidas de seguridad en toda la industria. Kraken y CertiK continúan trabajando juntos para asegurar que todas las brechas sean completamente cerradas y para mejorar la infraestructura de seguridad del intercambio.
Además, se ha discutido la posibilidad de implementar programas de recompensas para hackers éticos, incentivando a más expertos en seguridad a identificar y reportar vulnerabilidades antes de que sean explotadas por actores maliciosos.
El hackeo de Kraken es un recordatorio de los riesgos asociados con las criptomonedas y la importancia de la seguridad en los intercambios. A través de la colaboración y la mejora continua de sus sistemas de seguridad, Kraken busca asegurar la confianza de sus usuarios y prevenir futuros incidentes. Este evento resalta la necesidad de una vigilancia constante y una respuesta rápida y efectiva a las amenazas de seguridad en el mundo de las criptomonedas. La industria debe seguir evolucionando y fortaleciendo sus defensas para proteger los activos y la confianza de sus usuarios.
