Este miércoles, a través de una publicación en el blog del criptointercambio Kraken, esta empresa dijo que está siendo víctima de extorsión por parte de un supuesto hacker ético, comúnmente llamado de “sombrero blanco”, que tras atacar una vulnerabilidad de la plataforma, robó 3 millones de dólares en criptomonedas que se rehúsa a devolver.
Kraken dijo que como parte de su compromiso continuo de mejorar la seguridad en general del ecosistema criptográfico, informaron a la comunidad sobre la corrección de un error aislado en sus sistemas de depósito y financiación, informando a su vez que los activos digitales de los clientes no se vieron afectados o vulnerados por dicho incidente.
De acuerdo con la versión de Kraken, “el error fue descubierto inicialmente por una empresa de investigación de seguridad de terceros que había explotado la falla para obtener ganancias financieras antes de informarlo al programa Bug Bounty de Kraken”.
Al parecer, “esta falla permitió a ciertos usuarios, durante un corto período de tiempo, aumentar artificialmente el valor del saldo de su cuenta Kraken sin completar un depósito”. Sin embargo, Kraken reveló que “tras el descubrimiento, un esfuerzo multifuncional en Kraken mitigó el problema en menos de una hora”.
“Luego probamos exhaustivamente la solución para protegernos contra problemas similares en el futuro”, informó Kraken. El criptointercambio señaló que “desafortunadamente, los investigadores externos que descubrieron el error actuaron de mala fe y fuera de las reglas del programa Bug Bounty establecido, que ha estado en funcionamiento durante casi una década”.
Según Kraken, “las mejores prácticas de la industria de los programas de recompensas por errores generalmente implican una colaboración cuidadosa entre ambas partes, y se espera que los investigadores de seguridad, exploten sólo lo necesario para demostrar la vulnerabilidad de seguridad y que luego devuelvan rápidamente los activos que han sido extraídos”.
En dicho proceso, los cazadores de fallos, tienen la obligación de “proporcionar detalles de las pruebas, como el código de prueba de concepto, que permita a la empresa ayudar con la identificación y corrección de la falla subyacente”.
El error en sí, se encontraba en su sistema de depósito, el cual permitía a los usuarios de la plataforma aumentar de forma artificial el saldo de sus cuentas sin completar un depósito, pudiendo en consecuencia, hacer retiros de fondos que nunca fueron acreditados por los propietarios de dichas cuentas.
Básicamente, este error tomaba fondos de la cuenta de tesorería del criptointercambio, por lo que los fondos de los usuarios no fueron afectados por la vulnerabilidad. En el proceso, el supuesto hacker ético que trabaja como investigador de vulnerabilidades, utilizó para su beneficio la falla logrando apoderarse de 3 millones de dólares que no ha querido devolver.
Además, nunca hizo llegar a Kraken las correspondientes pruebas sobre la vulnerabilidad encontrada, de manera que esto permitiera al criptointercambio corregir la falla crítica. Nick Percoco, CSO de Kraken, explicó lo sucedido en un extenso hilo de su cuenta de X.
Kraken Security Update:
On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.
— Nick Percoco (@c7five) June 19, 2024
Percoco, comenzó a divulgar los hechos en X, diciendo: “Actualización de seguridad de Kraken: El 9 de junio de 2024, recibimos una alerta del programa Bug Bounty de un investigador de seguridad. Inicialmente no se revelaron detalles, pero su correo electrónico afirmaba haber encontrado un error «extremadamente crítico» que les permitió inflar artificialmente su saldo en nuestra plataforma”.
El CSO o director de seguridad de una empresa, es el encargado de gestionar los riesgos de seguridad de la organización, por lo que debe mitigar desde ataques cibernéticos hasta intrusiones físicas en las instalaciones e incluso en áreas críticas, teniendo a su cargo el control y protección del hardware, software, redes y datos, a lo que se suman los fondos de los clientes por ser un criptointercambio.
En ese contexto, el CSO de Kraken, explicó detalladamente que el equipo del criptointercambio “encontró una falla derivada de un cambio reciente en la experiencia de usuario que acreditaría rápidamente las cuentas de los clientes antes de que se liquidaran sus activos, lo que permitiría a los clientes operar de manera efectiva en mercados criptográficos en tiempo real”.
Según Percoco, “este cambio de UX no se probó exhaustivamente con este vector de ataque específico” y por lo tanto, de allí se derivó la vulnerabilidad. Y siguió explicando: “este individuo descubrió el error en nuestro sistema de financiación y lo aprovechó para acreditar su cuenta con $4 en criptoactivos”.
“Esto habría sido suficiente para probar la falla, presentar un informe de recompensa por errores a nuestro equipo y cobrar una recompensa muy considerable según los términos de nuestro programa”, señaló en el hilo de publicaciones Percoco.
Luego dijo que “Después de solucionar el riesgo, investigamos a fondo la situación y rápidamente descubrimos que 3 cuentas habían aprovechado esta falla con unos pocos días de diferencia”. “A medida que profundizamos, notamos que una cuenta tenía KYC para un individuo que decía ser un investigador de seguridad”.
Percoco, señaló que: “en cambio, el ‘investigador de seguridad’ reveló este error a otras dos personas con las que trabaja y que generaron de manera fraudulenta sumas mucho mayores. Finalmente retiraron casi 3 millones de dólares de sus cuentas de Kraken. Esto procedía de las tesorerías de Kraken, no de otros activos de clientes”.
Asimismo, el CSO de Kraken denunció que el supuesto investigador de seguridad junto a otras dos personas, se negaron a brindar información sobre la vulnerabilidad, y en cambio, “exigieron realizar una llamada con su equipo de ventas”, negándose a devolver los fondos.
El grupo de personas, piden que el criptointercambio calcule una cantidad especulada en dólares de las pérdidas que el error pudo haber provocado, para que pague en consecuencia la recompensa. De allí que Percoco, denunciara públicamente: “¡Esto no es piratería de sombrero blanco, es extorsión!”.
In the essence of transparency, we are disclosing this bug to the industry today. We are being accused of being unreasonable and unprofessional for requesting that “white-hat hackers” return what they stole from us. Unbelievable.
— Nick Percoco (@c7five) June 19, 2024
“En aras de la transparencia, hoy revelamos este error a la industria. Se nos acusa de ser irrazonables y poco profesionales por solicitar que los “hackers de sombrero blanco” devuelvan lo que nos robaron. Increíble”, agregó Percoco.
Y es que en efecto, es muy usual en la industria tecnológica que brindan servicios a usuarios masivos a través de sistemas informáticos, el tener un programa de “Bug Bounty” para recompensar a aquellas personas que sean capaces de encontrar vulnerabilidades y problemas críticos de seguridad en sus plataformas y la criptoindustria no es la excepción.
Año tras año, los criptointercambios e incluso las empresas del sector DeFi, pagan enormes sumas de dinero como recompensas por encontrar vulnerabilidades en sus sistemas informáticos a personas que se dedican a ello, lo que les ofrece la posibilidad de protegerse contra eventuales ciberataques masivos a futuro.