El intercambio de criptomonedas Kraken ha revelado un incidente alarmante que involucra una empresa de investigación de seguridad que explotó un error en su plataforma, resultando en la apropiación indebida de $3 millones en activos digitales.
Nick Percoco, el Director de Seguridad de Kraken, detalló el incidente en X, explicando cómo la acción de los investigadores fue considerada criminal y dijo:
Como investigador de seguridad, su licencia para «piratear» una empresa se habilita siguiendo las reglas simples del programa de recompensas por errores en el que participa. Ignorar esas reglas y extorsionar a la empresa revoca su «licencia para piratear». Te convierte a ti y a tu empresa en delincuentes.
As a security researcher, your license to “hack” a company is enabled by following the simple rules of the bug bounty program you are participating in. Ignoring those rules and extorting the company revokes your “license to hack”. It makes you, and your company, criminals.
— Nick Percoco (@c7five) June 19, 2024
El error en el sistema
El 9 de junio, Kraken recibió un aviso anónimo de un «investigador de seguridad» sobre un error crítico que afectaba su sistema de financiación. Según Percoco, la falla, derivada de un reciente cambio en la interfaz de usuario (UX) del intercambio, permitía a un actor malicioso inflar artificialmente los saldos de sus cuentas.
“Nuestro equipo identificó un defecto en un cambio de UX que acreditaba cuentas prematuramente, permitiendo a los usuarios operar en tiempo real antes de la liquidación de los activos. Este cambio no fue probado adecuadamente contra esta vulnerabilidad específica… [Entonces,] un atacante malicioso podría, efectivamente, imprimir activos en su cuenta de Kraken.”
Después de arreglar el error, Kraken descubrió que tres cuentas habían explotado esta falla en cuestión de días. Percoco reveló que el investigador de seguridad había compartido la información con dos asociados, quienes posteriormente retiraron casi $3 millones del tesoro de Kraken.
¿Extorsión?
Percoco declaró que Kraken contactó a estos individuos para obtener un informe completo y devolver los fondos retirados. Sin embargo, estas solicitudes fueron ignoradas. En cambio, los investigadores demandaron una suma especulativa por los posibles daños que el error podría haber causado si no se hubiera revelado.
Si bien es crucial descubrir y corregir errores, hacerlo fuera de los límites legales y éticos puede resultar en consecuencias graves tanto para los investigadores como para las empresas afectadas. Kraken continúa trabajando con las autoridades para resolver este incidente y recuperar los fondos perdidos.
Preguntas frecuentes
- ¿Qué es un exploit? Un exploit es una técnica que aprovecha una vulnerabilidad en un sistema para ganar acceso no autorizado o causar daño.
- ¿Qué hizo la empresa de investigación de seguridad? La empresa explotó un error en Kraken para inflar artificialmente los saldos de cuentas y retirar fondos sin autorización.
- ¿Por qué Kraken considera criminal la acción de los investigadores? Porque ignoraron las reglas del programa de recompensas por errores y extorsionaron a la empresa en lugar de reportar la vulnerabilidad de manera ética.
- ¿Qué medidas está tomando Kraken? Kraken está trabajando con las autoridades policiales y revisando sus protocolos de seguridad para prevenir futuros incidentes.
- ¿Cómo afecta esto a los usuarios de Kraken? Kraken ha asegurado a sus usuarios que el problema ha sido resuelto y que sus fondos están seguros.
Más noticias de interés:
