Un chercheur en seguridad descubre una falla en Kraken y roba 3 millones de dólares, exigiendo una recompensa por los fondos robados.
El intercambio de criptomonedas Kraken reveló que un equipo de investigación aún posee 3 millones de dólares en activos digitales adquiridos a través de un bug recientemente descubierto.
Detección de la falla y hackeo ético
Un investigador anónimo autodenominado en seguridad descubrió una vulnerabilidad crítica y alertó a Kraken el 9 de junio. Sin embargo, según Nick Percoco, jefe de seguridad en Kraken, dos cuentas asociadas con este investigador explotaron la falla para retirar más de 3 millones de dólares en activos digitales.
Después de esta retirada masiva, el investigador en seguridad exige una recompensa por los fondos robados. Percoco escribió en una publicación en X el 19 de junio: “En cambio, exigieron una llamada con su equipo de desarrollo comercial y no aceptaron devolver los fondos hasta que proporcionemos una cantidad especulada que este bug podría haber causado si no lo hubieran revelado. Esto no es hacking ético, es extorsión”.
Prácticas desleales?
Según Percoco, las criptomonedas fueron robadas directamente del tesoro de Kraken, sin poner en riesgo los fondos de los usuarios. Una de las tres cuentas de Kraken relacionadas con el hackeo había completado previamente la verificación KYC para una persona que se hacía pasar por investigador en seguridad, aunque su identidad sigue siendo desconocida.
El investigador inicialmente demostró la falla con una transferencia de criptomonedas por valor de 4 dólares, lo que habría sido suficiente para demostrar el bug y obtener “recompensas sustanciales” del programa de recompensas por errores de Kraken. Sin embargo, la persona reveló el bug a otras dos cuentas que fraudulentamente sustrajeron casi 3 millones de dólares de sus cuentas de Kraken.
Estas acciones se asemejan más a la extorsión que a un comportamiento de hacker ético, según Percoco de Kraken:
En aras de la transparencia, hoy estamos revelando este bug a la industria. Se nos acusa de ser irracionales y poco profesionales por pedirles a los ‘hackers éticos’ que devuelvan lo que nos han robado. Increíble. Estamos tratando este asunto como un caso criminal y estamos coordinando nuestros esfuerzos con las autoridades correspondientes