Kraken, uno de los intercambios de criptomonedas más importantes, reveló el 19 de junio un error crítico que permitió a los usuarios generar dinero gratis en sus cuentas durante meses. El problema se hizo público cuando un investigador de seguridad alertó a Kraken sobre una vulnerabilidad significativa en su sistema.
Un error costoso para Kraken
Este error permitió el retiro de al menos 3 millones de dólares en activos digitales, poniendo a Kraken en el centro de atención. Nicolas Percoco, director de seguridad de Kraken, comentó en X (anteriormente Twitter):
“A pesar de este incidente, nunca los activos de ningún cliente estuvieron en riesgo.”
Percoco explicó que el error permitía a los usuarios acreditar fondos en sus cuentas Kraken iniciando depósitos sin completar el proceso.
“Un atacante malintencionado podría imprimir efectivamente activos en su cuenta Kraken durante un período de tiempo”, añadió.
El investigador de seguridad que descubrió el error acreditó 4 dólares en criptomonedas en su cuenta, suficiente para informar la falla y reclamar una recompensa. Sin embargo, en lugar de informar la vulnerabilidad, compartió la información con dos asociados, quienes retiraron casi 3 millones de dólares de Kraken.
Kraken aseguró a sus usuarios que los fondos retirados provenían de las tesorerías de Kraken y no de otros activos de clientes.
La controversia con CertiKLa
situación se complicó cuando la empresa de seguridad blockchain CertiK se identificó como el investigador de seguridad implicado. CertiK afirmó:
“Después de identificar y solucionar la vulnerabilidad, el equipo de seguridad de Kraken AMENAZÓ a los empleados de CertiK con devolver una cantidad INCORRECTA de criptomonedas en un tiempo IRRAZONABLE, sin proporcionar direcciones de pago.”
Este conflicto atrajo críticas y a puesto en duda la seguridad y las prácticas de gestión de vulnerabilidades de Kraken, dejando incertidumbres sobre el futuro del intercambio y la reputación de CertiK en la identificación de vulnerabilidades.