Un ejecutivo de Kraken dice que una entidad de sombrero negro robó 3 millones de dólares de la empresa después de encontrar un error en los sistemas del intercambio.
En un largo hilo en la plataforma de redes sociales X, Nick Percoco, director de seguridad de Kraken, dice que a principios de este mes, Kraken recibió una actualización de su programa Bug Bounty afirmando que había un error “extremadamente crítico” que permitiría a los piratas informáticos inflar artificialmente sus fondos.
Dice Percoco,
“En cuestión de minutos descubrimos un error aislado. Esto permitió que un atacante malintencionado, en las circunstancias adecuadas, iniciara un depósito en nuestra plataforma y recibiera fondos en su cuenta sin completar el depósito.
Para ser claros, los activos de ningún cliente estuvieron nunca en riesgo. Sin embargo, un atacante malintencionado podría imprimir activos en su cuenta Kraken durante un período de tiempo”.
Según Percoco, después de corregir el error, Kraken descubrió que tres cuentas habían utilizado esta falla para su beneficio. Finalmente, a través de formularios de conocimiento de su cliente (KYC), Kraken pudo vincular una de las cuentas a una persona que decía ser un experto en seguridad.
Sin embargo, en lugar de informar esta hazaña a Kraken, supuestamente el individuo le dijo a otras dos personas, quienes continuaron seleccionando y retirando casi $ 3 millones de sus cuentas.
Percoco continúa alegar la persona y sus cómplices anónimos se niegan a devolver el dinero y, en cambio, exigen que el intercambio de cifrado entregue una cantidad especulada de dinero que el error habría causado si no lo hubieran encontrado.
Los programas de recompensas por errores permiten a las empresas ofrecer compensaciones a las personas si encuentran e informan errores. Conocidos como “hackers de sombrero blanco”, estos cazadores de errores permiten a las empresas protegerse de ataques y exploits.
Percoco dice que aprovechar los programas de recompensas por errores para explotar empresas convierte a uno en un delincuente.
“Como investigador de seguridad, su licencia para ‘piratear’ una empresa se habilita siguiendo las reglas simples del programa de recompensas por errores en el que participa. Ignorar esas reglas y extorsionar a la empresa revoca su ‘licencia para piratear’. Te convierte a ti y a tu empresa en delincuentes”.
No te pierdas nada: suscríbete para recibir alertas por correo electrónico directamente en tu bandeja de entrada
Consultar acción de precio
Siga con nosotros X, Facebook y Telegrama
Surfea la mezcla diaria de Hodl
Generar Imagen: A mitad del viaje