El intercambio de criptomonedas Kraken reveló que está siendo víctima de extorsión por supuestos hackers éticos que se rehúsan a devolver fondos robados luego de haber alertado a la empresa sobre una falla crítica de seguridad.
***
Un hacker extrajo USD $3 millones a Kraken y ahora extorsiona al exchange
Kraken reveló que un investigador externo que informó sobre falla se rehúsa a devolver fondos robados
El intercambio no planea darle su recompensa por programa de errores debido a su práctica de mala fe
Un hacker que se hace llamar de “sombrero blanco” está extorsionando al intercambio de criptomonedas Kraken luego de haber informado sobre un error crítico en la plataforma y haber extraído USD $3 millones en el proceso.
En una publicación de blog de este miércoles, Kraken informó a sus usuarios que ha solucionado un error en su sistema de depósito que permitía a los usuarios aumentar artificialmente el valor de saldo de sus cuentas sin completar un depósito.
La compañía aseguró que el problema se abordó en menos de una hora después de haber recibido la notificación de investigadores externos que habían alertado primero sobre una. El error se solucionó por completo en pocas horas, evitando que pudiese ser explotado por actores maliciosos, y ninguno de los fondos de usuarios se vio comprometido, dijo Kraken.
Si bien el descubrimiento sobre el error fue hecho inicialmente por investigadores de seguridad que alertaron sobre el caso, el intercambio dijo que en esta oportunidad ha decidido no recompensar a los responsables debido a su actuación maliciosa.
La razón es que, aparentemente, ese investigador no solo no habría enviado pruebas sobre la vulnerabilidad, sino que la habría aprovechado para robar USD $3 millones al intercambio y ahora se rehúsa a retornar los fondos, según detalló Nick Percoco, director de seguridad de Kraken, en una extensa cadena de mensajes publicados en X este miércoles.
Kraken se enfrenta a extorsión de supuestos investigadores
Percoco, que relató los hechos con gran detalle, dijo que el intercambio había descubierto que tres cuentas habían aprovechado la falla y que una de ellas pertenecía al individuo que decía ser el investigador de seguridad.
“Este individuo descubrió el error en nuestro sistema de financiación y lo aprovechó para acreditar su cuenta con USD $4 en criptomoneda. Esto habría sido suficiente para probar la falla, presentar un informe de recompensa por errores a nuestro equipo y cobrar una recompensa muy considerable según los términos de nuestro programa“, escribió el ejecutivo.
Sin embargo, en lugar de eso, el investigador habría comunicado la falla a otras dos personas que sí se aprovecharon para extraer maliciosamente dinero de la plataforma. “Finalmente retiraron casi 3 millones de dólares de sus cuentas de Kraken. Esto procedía de las tesorerías de Kraken, no de otros activos de clientes”, acusó Percoco.
Los supuestos investigadores se negaron a brindar información sobre las actividades relacionadas a la supuesta proeza de sombrero blanco. En cambio, exigieron realizar una llamada con su equipo de ventas y no aceptaron devolver ningún fondo hasta que el intercambio calcule una cantidad especulada en dólares de las pérdidas que el error pudo haber provocado.
“¡Esto no es piratería de sombrero blanco, es extorsión!“, denunció Percoco en redes sociales.
“En aras de la transparencia, hoy revelamos este error a la industria. Se nos acusa de ser irrazonables y poco profesionales por solicitar que los “hackers de sombrero blanco” devuelvan lo que nos robaron. Increíble“, agregó.
Hackers se rehúsan a devolver los fondos
Kraken, como muchas otras compañías de la industria, maneja un programa de “Bug Bounty” para recompensar a las personas que brinden información sobre vulnerabilidades y problemas críticos de seguridad en la plataforma. El intercambio dijo que ha estado llevando a cabo su programa durante casi una década, calificándolo como un “escudo vital” de su seguridad.
“No le daremos crédito al investigador de esta divulgación porque no cumplió con ninguna de estas expectativas de la industria“, reiteró la empresa en el comunicado.
Los hackers éticos, también llamados hackers de sombrero blanco, con frecuencia colaboran con las plataformas de criptomonedas para ayudarles a encontrar vulnerabilidades y otras fallas de seguridad a cambio de jugosas recompensas en moneda digital. En 2022, por ejemplo, OpenSea pagó USD $200.000 a dos expertos que descubrieron un error crítico.
Artículo de Hannah Estefanía Pérez / DiarioBitcoin
Imagen de Depositphotos
DiarioBitcoin