Investigadores de seguridad roban casi $3 millones en criptomonedas de Kraken

El intercambio de criptomonedas Kraken reveló el miércoles que casi $3 millones en criptomonedas fueron robados de sus billeteras debido a la explotación de una vulnerabilidad relacionada con un bug de día cero, que ya ha sido corregido.

Nick Percoco, Director de Seguridad de Kraken, utilizó la plataforma de redes sociales X (anteriormente Twitter) para informar que recibieron una alerta del “Programa de Recompensas por Errores” de un investigador de seguridad el 9 de junio de 2024, notificándoles sobre una vulnerabilidad “extremadamente crítica” que permitía a cualquiera aumentar artificialmente el valor del saldo de su cuenta de Kraken.

Al investigar el informe, Kraken encontró un bug aislado que permitía a los actores de amenazas, bajo las circunstancias adecuadas, iniciar un depósito en su plataforma y recibir fondos en su cuenta, incluso si el depósito fallaba.

“Para ser claros, los activos de ningún cliente estuvieron en riesgo. Sin embargo, un atacante malicioso podría efectivamente imprimir activos en su cuenta de Kraken durante un período de tiempo”, explicó Percoco.

Percoco dice que el equipo de seguridad de Kraken marcó esta vulnerabilidad como Crítica y resolvió el problema en menos de una hora, evitando más pérdidas. El equipo también probó exhaustivamente la solución para protegerse contra problemas similares en el futuro.

“Nuestro equipo encontró un defecto derivado de un cambio reciente en la experiencia del usuario que acreditaría rápidamente las cuentas de los clientes antes de que sus activos se liquidaran, permitiendo a los clientes comerciar efectivamente en los mercados de criptomonedas en tiempo real. Este cambio en la experiencia del usuario no fue probado a fondo contra este vector de ataque específico”, agregó Percoco.

Después de corregir el bug, el equipo de Kraken descubrió que tres cuentas ya habían explotado el bug de día cero en unos pocos días, retirando colectivamente casi $3 millones del tesoro del intercambio.

Actualización de Seguridad de Kraken: El 9 de junio de 2024, recibimos una alerta del programa de recompensas por errores de un investigador de seguridad. No se divulgaron detalles específicos inicialmente, pero su correo electrónico afirmaba haber encontrado un bug “extremadamente crítico” que les permitía inflar artificialmente su saldo en nuestra plataforma. — Nick Percoco (@c7five) 19 de junio de 2024

En una investigación más profunda, encontraron que una cuenta estaba vinculada a un individuo que había completado el proceso de verificación KYC de Kraken, afirmando ser un investigador de seguridad. Esta persona inicialmente probó el bug y acreditó su cuenta con $4 en criptomonedas, lo que habría sido suficiente para probar el defecto y ser recompensado a través del programa de recompensas por errores de Kraken.

Sin embargo, Percoco dice que el ‘investigador de seguridad’ en cambio divulgó el bug de día cero a otras dos personas asociadas con el investigador, quienes retiraron fraudulentamente un adicional de $3 millones de sus cuentas de Kraken. Enfatizó que estos fondos robados eran del tesoro de Kraken, y no de otras cuentas de clientes.

Como las transacciones de las otras dos personas no se divulgaron completamente en el informe inicial del programa de recompensas por errores, el equipo de Kraken contactó al investigador para obtener más detalles sobre sus actividades. Sin embargo, Percoco dice que los investigadores se negaron a devolver la criptomoneda o compartir cualquier información sobre el defecto, lo cual es una práctica común para cualquier programa de recompensas por errores.

“En cambio, exigieron una llamada con su equipo de desarrollo comercial (es decir, sus representantes de ventas) y no han acordado devolver ningún fondo hasta que proporcionemos un monto especulado que este bug podría haber causado si no lo hubieran divulgado. ¡Esto no es hacking de sombrero blanco, es extorsión!” afirmó Percoco.

La respuesta de Kraken al incidente ha sido transparente. Percoco destacó la importancia del comportamiento ético en la comunidad de ciberseguridad, diciendo: “Como investigador de seguridad, tu licencia para ‘hackear’ una empresa se habilita siguiendo las simples reglas del programa de recompensas por errores en el que estás participando. Ignorar esas reglas y extorsionar a la empresa revoca tu ‘licencia para hackear’.”

Percoco dice que Kraken no está revelando las identidades de los investigadores ya que “no merecen reconocimiento por sus acciones”. Además, Kraken ahora está tratando este caso como un asunto criminal y coordinando con agencias de aplicación de la ley para recuperar los fondos robados.

“Involucramos a estos investigadores de buena fe y, en línea con una década de ejecución de un programa de recompensas por errores, ofrecimos una recompensa considerable por sus esfuerzos. Estamos decepcionados por esta experiencia y ahora estamos trabajando con agencias de aplicación de la ley para recuperar los activos de estos investigadores de seguridad”, dijo un portavoz de Kraken en un comunicado.