Toma rápida:
El jefe de seguridad de Kraken, Nick Percoco, dijo el miércoles que se robaron 3 millones de dólares de sus billeteras. El error permitió que cualquiera iniciara un depósito en la plataforma y recibiera los fondos sin completarlo. Percoco dijo que tres personas relacionadas con una empresa no revelada se habían negado a devolver los fondos hasta que Kraken hiciera público el tamaño potencial del exploit.
CertiK y la empresa de intercambio de criptomonedas Kraken han estado involucrados en una disputa de recompensa por errores durante los últimos días, según el materials informativo revelado por la empresa de seguridad blockchain en X.
CertiK dijo el 5 de junio que encontró una vulnerabilidad en el sistema de depósito de Kraken que permitía retiros de criptomonedas fabricadas que podían convertirse en criptomonedas válidas.
La empresa de criptoseguridad depositó 200 Matic el 5 de junio antes de retirar 90.000 Matic dos días después. Luego hizo un depósito significativamente mayor antes de retirar una cantidad aún mayor el 9 de junio, afirmó la empresa a través de una publicación en X.
Al comentar sobre el resultado de su prueba en X, CertiK escribió: “El intercambio de Kraken falló en todas estas pruebas, lo que indica que el sistema de defensa en profundidad de Kraken está comprometido en múltiples frentes. Se pueden depositar millones de dólares en CUALQUIER cuenta de Kraken”.
“Se puede retirar de la cuenta una gran cantidad de criptomonedas fabricadas (con un valor de más de 1 millón de dólares) y convertirlas en criptomonedas válidas. Peor aún, no se activaron alertas durante el período de prueba de varios días. Kraken solo respondió y bloqueó las cuentas de prueba días después de que informamos oficialmente el incidente”.
En su respuesta, el director de seguridad de Kraken, Nick Percoco, dijo que su empresa pudo “eliminar el error” en una hora y 47 minutos, antes de solucionar completamente el problema en unas pocas horas.
Al describir las circunstancias del error, dijo: “Nuestro equipo encontró una falla derivada de un cambio reciente en la experiencia de usuario que acreditaría rápidamente las cuentas de los clientes antes de que se liquidaran sus activos, lo que permitiría a los clientes operar de manera efectiva en mercados criptográficos en tiempo actual. Este cambio de UX no se probó exhaustivamente contra este vector de ataque específico”.
Percoco dijo que investigaciones adicionales mostraron que tres cuentas ya habían aprovechado al máximo el error para acreditar sus cuentas con $4 en criptomonedas, lo que habría sido suficiente para presentar un informe de recompensa por errores al equipo de Kraken, ganándose una recompensa appreciable por parte del intercambio de criptomonedas. programa de recompensas por errores.
“En cambio, el ‘investigador de seguridad’ reveló este error a otras dos personas con las que trabaja y que de manera fraudulenta generaron sumas mucho mayores. Finalmente retiraron casi 3 millones de dólares de sus cuentas de Kraken. Esto procedía de las tesorerías de Kraken, no de otros activos de clientes”.
Después de discutir la presentación del informe para que los fondos pudieran ser devueltos, los investigadores se negaron, dijo Percoco, calificando el evento como una “extorsión”.
CertiK dijo que después de las conversiones iniciales exitosas para identificar y solucionar la vulnerabilidad, el equipo de operaciones de seguridad de Kraken amenazó a los empleados individuales de CertiK con reembolsar cantidades criptográficas no coincidentes sin darles un tiempo razonable ni direcciones de pago.
Manténgase al tanto de las cosas:
Suscríbete a nuestro boletín usando este enlace: ¡no enviaremos spam!
Síguenos en X y Telegram.