Home Criptomonedas Kraken Crypto Exchange sufre un robo de 3 millones de dólares, aprovechando...

Kraken Crypto Exchange sufre un robo de 3 millones de dólares, aprovechando una falla de día cero

El exchange de criptomonedas Kraken reveló que un investigador de seguridad anónimo aprovechó una falla de día cero “extremadamente crítica” en su plataforma para robar $3 millones en activos digitales y se negó a devolverlos.

Los detalles del incidente fueron compartidos por el director de seguridad de Kraken, Nick Percoco, en X (anteriormente Twitter), afirmando que recibió una alerta del programa Bug Bounty sobre un error que “les permitió inflar artificialmente su saldo en nuestra plataforma” sin compartir ningún otro. detalles

La compañía dijo que identificó un problema de seguridad a los pocos minutos de recibir la alerta que esencialmente permitió a un atacante “iniciar un depósito en nuestra plataforma y recibir fondos en su cuenta sin completar el depósito”.

Si bien Kraken enfatizó que los activos de ningún cliente estaban en riesgo de sufrir el problema, podría haber permitido a un actor de amenazas imprimir activos en sus cuentas. El problema se solucionó en 47 minutos, afirmó.

También aseguró que la falla se debió a un cambio reciente en la interfaz de usuario que permite a los clientes depositar fondos y usarlos antes de que sean liquidados.

Además de ello, una investigación más exhaustiva descubrió el hecho de que tres cuentas, incluida una perteneciente al supuesto investigador de seguridad, habían explotado la falla con unos pocos días de diferencia entre sí y desviaron 3 millones de dólares.

En un extraño giro de los acontecimientos, cuando Kraken se acercó para compartir su exploit de prueba de concepto (PoC) utilizado para crear la actividad en cadena y organizar la devolución de los fondos que habían retirado, exigieron que la empresa se ponga en contacto con su equipo de desarrollo empresarial para pagar una cantidad fija, a fin de liberar los activos.

El nombre de la compañía no fue revelado, pero Kraken dijo que está tratando el evento de seguridad como un caso criminal y que está coordinando con las agencias policiales sobre el asunto.