El exchange de criptomonedas Kraken ha dicho que está «coordinándose con las fuerzas del orden» después de que investigadores de seguridad supuestamente intentaron extorsionar a la empresa tras descubrir una vulnerabilidad en su plataforma. Un investigador de la empresa anónima presentó un informe de recompensa por errores a Kraken el 9 de junio después de encontrar una vulnerabilidad «extremadamente crítica». “En cuestión de minutos descubrimos un error aislado. Esto permitió a un atacante malicioso, en las circunstancias adecuadas, iniciar un depósito en nuestra plataforma y recibir fondos en su cuenta sin completar el depósito por completo”, explicó Nick Percoco, CSO de Kraken. “Para ser claros, los activos de ningún cliente estuvieron nunca en riesgo. Sin embargo, un atacante malintencionado podría imprimir activos en su cuenta Kraken durante un período de tiempo”. Lea más sobre los programas de recompensas por errores: Google pagó 10 millones de dólares en recompensas por errores a investigadores de seguridad en 2023. Después de parchear dos horas después de la notificación, Kraken descubrió que tres personas habían explotado la falla para inflar artificialmente su saldo en el intercambio. El primero acreditó en su cuenta sólo 4 dólares, presumiblemente para probar que el exploit funcionaba. Sin embargo, los dos segundos terminaron retirando casi 3 millones de dólares de las tesorerías de Kraken, dijo Percoco. Cuando Kraken se puso en contacto para solicitar, como es habitual con los programas de recompensas por errores, “un informe completo de sus actividades, una prueba de concepto utilizada para crear la actividad en cadena y organizar la devolución de los fondos que habían retirado, ” Los investigadores se negaron. “En cambio, exigieron una llamada a su equipo de desarrollo comercial (es decir, sus representantes de ventas) y no aceptaron devolver ningún fondo hasta que proporcionemos una cantidad especulada de dólares que este error podría haber causado si no lo hubieran revelado. Esto no es un hackeo de sombrero blanco, es una extorsión”, argumentó Percoco. “Como investigador de seguridad, su licencia para ‘piratear’ una empresa se habilita siguiendo las reglas simples del programa de recompensas por errores en el que participa. Ignorar esas reglas y extorsionar a la empresa revoca su ‘licencia para piratear’. Te convierte a ti y a tu empresa en delincuentes”. Crédito de la imagen: rafapress/Shutterstock.com