Puntos clave de la noticia
- Kraken sufrió un intento de extorsión por parte de investigadores de seguridad.
- Un error en un cambio de UX permitió la explotación del sistema para retirar casi $3 millones.
- Kraken respondió con transparencia y colaboró con las autoridades para tratar el caso como un crimen.
El 9 de junio de 2024, Kraken, una destacada plataforma de exchange de criptomonedas, recibió un informe alarmante a través de su programa de recompensas por errores (Bug Bounty).
Un investigador de seguridad afirmaba haber descubierto una vulnerabilidad «extremadamente crítica» que permitía la inflación de saldos.
Lo que inicialmente parecía ser un reporte rutinario de una falla se transformó rápidamente en un intento de extorsión.
El equipo de seguridad de Kraken, dirigido por Nick Percoco, descubrió que el fallo en cuestión derivaba de un cambio reciente en la experiencia del usuario (UX).
Kraken Security Update:
On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.
— Nick Percoco (@c7five) June 19, 2024
Este cambio acreditaba las cuentas de los clientes antes de que sus activos se liquidaran completamente, permitiendo que los usuarios operaran en tiempo real con fondos no asegurados.
En cuestión de días, tres cuentas aprovecharon esta vulnerabilidad.
Una de estas cuentas pertenecía a un individuo que se identificó como investigador de seguridad y que utilizó el fallo para acreditarse $4 en criptomonedas, suficiente para demostrar la falla y reclamar una recompensa considerable a través del programa de Bug Bounty.
Sin embargo, este investigador no actuó solo.
Compartió la vulnerabilidad con dos colaboradores, quienes explotaron el fallo para retirar casi $3 millones de las arcas del exchange.
Esto no afectó los activos de los clientes, pero representó una sustracción significativa de los fondos de la propia compañía.
Cuando Kraken solicitó un informe completo de las actividades y la devolución de los fondos retirados, los investigadores de seguridad se negaron y exigieron una llamada con el equipo de desarrollo comercial de Kraken.
Este comportamiento, calificado por Percoco como extorsión, violaba las normas del programa de Bug Bounty de la empresa.
Kraken, que ha operado su programa de recompensas por errores durante casi una década, tiene reglas claras: los investigadores deben explotar lo mínimo necesario para probar la vulnerabilidad, proporcionar un concepto de prueba y devolver inmediatamente cualquier fondo extraído.
La negativa de los investigadores a cumplir con estas reglas y su demanda de un monto especulativo sobre los posibles daños llevaron a la empresa a tratar el incidente como un caso criminal, colaborando con las agencias de aplicación de la ley.
Compromiso de Kraken con la Seguridad
A pesar de esta experiencia negativa, Kraken sigue comprometido con su programa de recompensas por errores, considerando crucial su papel en mejorar la seguridad del ecosistema de criptomonedas.
La empresa ha enfatizado la importancia de actuar de buena fe y seguir las reglas establecidas para mantener la integridad del programa.
Nick Percoco expresó que, a lo largo de los años, Kraken ha trabajado con numerosos investigadores legítimos sin problemas, siempre respondiendo de manera efectiva y justa.
Este incidente, aunque desafortunado, es considerado aislado.
Kraken continuará colaborando con investigadores éticos y tomando medidas firmes contra aquellos que intenten aprovecharse de las vulnerabilidades para fines fraudulentos.
En un esfuerzo por mantener la transparencia, Kraken ha decidido divulgar públicamente el error y sus detalles.
La empresa subraya que ignorar las reglas del programa de recompensas y tratar de extorsionar a la compañía revoca el «permiso para hackear» que tienen los investigadores de seguridad, convirtiéndolos en delincuentes.