Robo de claves API en Kronos Research

El 19 de noviembre de 2023, la firma de trading basada en Taipéi Kronos Research divulgó públicamente que se habían robado 26 millones de dólares mediante un ciberataque a la infraestructura API de la firma. De manera crítica, los atacantes no robaron claves privadas: robaron claves API que controlaban autoridad de retiro programática sobre las wallets de Kronos. El compromiso obligó a WOO Network, un exchange importante que dependía de Kronos como su market maker principal, a suspender el trading.

Qué ocurrió

Kronos Research operaba como market maker de alta frecuencia, ejecutando trading automatizado y rebalanceo en varios exchanges y protocolos DeFi. La automatización de la firma dependía de claves API: credenciales de cuenta de servicio que autorizaban acciones programáticas incluyendo retiros de wallets dentro de límites preconfigurados.

Los atacantes comprometieron estas claves API por medios que Kronos no detalló públicamente. Con las claves en su poder, pudieron:

1. Iniciar retiros desde las wallets de Kronos mediante las mismas rutas programáticas que la propia Kronos usaba.
2. Drenar aproximadamente 26 M$ en activos mixtos antes de que la firma detectara la actividad no autorizada y rotara credenciales.

Las configuraciones de límite de retiro en las claves API no captaron la actividad a tiempo: o bien porque el atacante se mantuvo dentro de los límites configurados por acción e hizo muchas acciones, o porque los límites se habían fijado de forma permisiva por conveniencia operativa.

Consecuencias

• Kronos detuvo todas las operaciones de trading para realizar una investigación a fondo.
• WOO Network, dependiente de Kronos para la liquidez de market making, pausó el trading por completo hasta que se pudieran hacer arreglos alternativos.
• Kronos confirmó que la pérdida se absorbería internamente sin afectar a socios ni contrapartes.
• Los fondos robados fueron lavados; sin recuperación pública.

Por qué importa

El incidente de Kronos Research es el caso canónico de por qué la seguridad de las claves API es una preocupación de custodia, no solo operativa. Muchas firmas —exchanges, market makers, procesadores de pago— operan grandes porciones de su negocio mediante claves API que tienen autoridad de firma efectiva sobre las wallets. El modelo de confianza es "la clave API está vinculada a una cuenta de servicio específica con un ámbito de permisos configurado", pero en la práctica:

• Las claves API se almacenan en servidores operativos con mayor superficie de ataque que las claves de firma aisladas por HSM.
• Sus ámbitos de permisos suelen configurarse para el caso típico, no para el escenario de atacante en el peor caso.
• Están rutinariamente expuestas a una población más amplia de empleados (operaciones, devops, ingeniería) de la que estarían las propias claves privadas.

Las mejores prácticas modernas desde el incidente de Kronos incluyen:

• Límites más estrictos de velocidad de retiro por clave con auto-suspensión por anomalía.
• Confirmación fuera de banda requerida para retiros a direcciones externas.
• Claves API respaldadas por HSM que no pueden exfiltrarse del host aunque se comprometa el servidor.
• Direcciones de destino en allowlist para cualquier autoridad programática de retiro.

La lección, pagada en Kronos: una clave privada en un módulo de seguridad de hardware es significativamente distinta de una clave privada en una wallet de software, y una clave API autorizada para actuar sobre cualquiera de ellas es una clase de activo propia con su propio modelo de amenaza.