Original|Odaily Planet Daily
Autor|jk
El 19 de junio, hora local de Estados Unidos, el exchange de criptomonedas Kraken y la empresa de seguridad blockchain CertiK tuvieron un enfrentamiento público en las redes sociales por una serie de graves vulnerabilidades de seguridad.
El incidente se originó a partir de una vulnerabilidad de Kraken descubierta por CertiK: el director de seguridad de Kraken, Nick Percoco, reveló en Twitter que se recibió un informe de vulnerabilidad "extremadamente grave" en su programa de recompensas por errores, y el informe afirmaba haber descubierto una vulnerabilidad que podría ser artificialmente A. vulnerabilidad que aumenta los saldos de las cuentas. CertiK lo llamó una prueba de seguridad del intercambio Kraken, y Kraken creía que CertiK aprovechó la vulnerabilidad en el medio para obtener ganancias. Ambas partes insistieron en sus propias opiniones y continuaron discutiendo, formando una escena de consumo de melones a gran escala.
Divulgación del incidente de Kraken
El siguiente es el proceso del incidente publicado por el director de seguridad de Kraken en la plataforma X:
“El 9 de junio de 2024, recibimos una alerta de un investigador de seguridad a través de nuestro programa de recompensas por errores. Al principio no hubo detalles, pero afirmaron haber descubierto una vulnerabilidad “extremadamente grave” que les permitió explotar nuestra plataforma. aumentado artificialmente.
Recibimos informes de vulnerabilidad falsos todos los días de personas que dicen ser "investigadores de seguridad". Esto no es nada nuevo para nadie que ejecute un programa de recompensas por errores. Sin embargo, nos estamos tomando este asunto muy en serio y rápidamente reunimos un equipo multifuncional para investigar el problema. Esto es lo que encontramos.
En cuestión de minutos, descubrimos una vulnerabilidad aislada. En determinadas circunstancias, esta vulnerabilidad podría permitir que un atacante malicioso inicie una operación de depósito y reciba fondos en su cuenta sin completar el depósito por completo.
Para ser claros, los activos de los clientes nunca están en riesgo. Sin embargo, un atacante malicioso puede generar activos de manera efectiva en su cuenta Kraken durante un período de tiempo.
Evaluamos esta vulnerabilidad como crítica y nuestro equipo de expertos mitigó el problema en una hora (47 minutos para ser exactos). En unas pocas horas, el problema se solucionó por completo y nunca volverá a suceder.
Nuestro equipo descubrió que la vulnerabilidad se debe a cambios recientes en la experiencia del usuario (UX) que debitan las cuentas de los clientes inmediatamente antes de que se liquiden sus activos y permiten a los clientes operar en mercados de criptomonedas en tiempo real. Este cambio de UX no se probó completamente contra este vector de ataque específico.
Después de solucionar el riesgo, llevamos a cabo una investigación exhaustiva y rápidamente descubrimos que tres cuentas habían explotado la vulnerabilidad en unos pocos días. Tras una investigación más profunda, notamos que una de las cuentas estaba vinculada a través de KYC a un individuo que decía ser un investigador de seguridad.
Este individuo descubrió esta vulnerabilidad en nuestro sistema de financiación y la utilizó para aumentar el saldo de su cuenta en $4. Esto es suficiente para demostrar la existencia de una vulnerabilidad, enviar un informe de recompensas por errores a nuestro equipo y recibir una recompensa considerable de acuerdo con los términos de nuestro programa.
Sin embargo, el "investigador de seguridad" reveló la falla a otras dos personas con las que estaba trabajando, quienes la explotaron para generar de manera fraudulenta mayores cantidades de fondos. Terminaron retirando casi 3 millones de dólares de sus cuentas Kraken. Estos fondos provienen de las bóvedas de Kraken, no de los activos de otros clientes.
El informe inicial de recompensas por errores no reveló completamente la información de estas transacciones, por lo que nos comunicamos con investigadores de seguridad para confirmar algunos detalles y recompensarlos por descubrir con éxito vulnerabilidades de seguridad en nuestra plataforma.
Luego les pedimos que proporcionaran una descripción detallada de su actividad, crearan una prueba de concepto de actividad en cadena y organizaran la devolución de los fondos que habían retirado. Esta es una práctica común con cualquier programa de recompensas por errores. Los investigadores de seguridad se negaron.
En cambio, pidieron hablar con su equipo de BD (es decir, sus representantes de ventas) y no aceptaron devolver ningún fondo hasta que les proporcionemos una cantidad hipotética de posibles pérdidas. ¡Esto no es hackeo de sombrero blanco, esto es extorsión!
Hemos tenido un programa de recompensas por errores en Kraken durante casi diez años. El programa se ejecuta internamente y cuenta con personal de tiempo completo compuesto por algunas de las mentes más brillantes de la comunidad. Nuestro programa, como muchos otros, tiene reglas claras:
No extraiga más de lo necesario para demostrar la vulnerabilidad.
Muestre su trabajo (es decir, proporcione una prueba de concepto).
Todo lo retirado debe ser devuelto inmediatamente.
Nunca hemos tenido problemas para trabajar con investigadores legítimos y siempre somos receptivos.
En aras de la transparencia, hoy revelamos esta vulnerabilidad a la industria. Se nos ha acusado de ser irrazonables y poco profesionales por pedir a los "hackers de sombrero blanco" que devuelvan lo que nos robaron. Es increíble.
Como investigador de seguridad, su licencia de "hacker" se habilita siguiendo las reglas simples del programa de recompensas por errores en el que participa. Ignorar estas reglas y estafar a la empresa revocará su licencia de "piratería". Esto le convierte a usted y a su empresa en criminales.
No nombraremos a la empresa de investigación porque sus acciones no merecen reconocimiento. Estamos tratando esto como un asunto penal y estamos coordinando con las agencias policiales. Agradecemos el informe sobre este problema, pero eso es todo.
Nuestro programa de recompensas por errores continúa desempeñando un papel importante en la misión de Kraken y es una parte clave de nuestros esfuerzos para mejorar la seguridad general del ecosistema criptográfico. Esperamos trabajar con futuros actores de integridad y tratar esto como un evento independiente. "
CertiK respondió
Aunque Kraken no reveló el nombre específico de la empresa a la que pertenece el investigador de seguridad, CertiK publicó una respuesta al incidente en la plataforma X unas horas después. La siguiente es la respuesta publicada por la plataforma X oficial de CertiK:
“CertiK descubrió recientemente una serie de vulnerabilidades críticas en el intercambio Kraken que podrían resultar en pérdidas de cientos de millones de dólares.
A partir del descubrimiento de un problema con el sistema de depósito de Kraken, que puede no ser capaz de distinguir entre diferentes estados de transferencias internas, llevamos a cabo una investigación exhaustiva centrándonos en los siguientes tres problemas:
1. ¿Puede un actor malintencionado falsificar una transacción de depósito en una cuenta Kraken?
2. ¿Pueden los actores malintencionados retirar fondos falsificados?
3. ¿Qué controles de riesgo y protecciones de activos pueden activarse ante grandes solicitudes de retiro?
Según los resultados de nuestras pruebas: Kraken Exchange falló en todas estas pruebas, lo que indica que el sistema de defensa en profundidad de Kraken se vio comprometido de múltiples maneras. Se pueden depositar millones de dólares en cualquier cuenta Kraken. Se pueden retirar más de 1 millón de dólares en criptomonedas falsificadas de las cuentas y convertirlas en criptomonedas válidas. Para empeorar las cosas, durante el período de prueba de varios días no se activó ninguna alarma. Kraken solo respondió y bloqueó la cuenta de prueba después de que informamos oficialmente el incidente.
Tras el descubrimiento, notificamos a Kraken y su equipo de seguridad lo clasificó como "Crítico", el nivel de clasificación de incidentes de seguridad más grave de Kraken.
Después de identificar y remediar inicialmente con éxito la vulnerabilidad, el equipo de operaciones de seguridad de Kraken amenazó a los empleados individuales de CertiK con reembolsar cantidades no coincidentes de criptomonedas en un período de tiempo irrazonable, sin siquiera proporcionar una dirección de pago.
Con espíritu de transparencia y nuestro compromiso con la comunidad Web3, exponemos esta información para proteger la seguridad de todos los usuarios. Instamos a Kraken a que cese cualquier amenaza contra los piratas informáticos de sombrero blanco.
Juntos enfrentamos riesgos y protegemos el futuro de Web3. "
Más tarde, CertiK reveló el cronograma completo y la dirección del depósito.
Cronología anunciada por CertiK. Fuente: CertiK Oficial X
Al mismo tiempo, CertiK también declaró que, dado que Kraken no proporcionó una dirección de pago y el monto de pago requerido no coincidía en absoluto, transferimos los fondos existentes a una cuenta a la que Kraken podía acceder según los registros.
Otras noticias y comentarios de seguimiento
A juzgar por la información general, la cantidad de recompensa del programa de recompensas por errores de Kraken es realmente considerable. La recompensa por el nivel más alto de incidentes de seguridad similar a este incidente está entre 1 millón y 1,5 millones de dólares estadounidenses. Esta es una gran diferencia con respecto a los tres millones de dólares estadounidenses reclamados por Kraken. Por lo tanto, algunas personas dijeron en el área de comentarios: "No creo que el hacker deba devolverlo". Otros respondieron: "¿Quieres quedarte con el millón?". ¿Recompensa? ¿Ir a la cárcel con tres millones de ganancias ilegales?
Recompensas del programa de recompensas por errores de Kraken. Fuente: Kraken
El detective en cadena ZachXBT dijo: Esta historia se vuelve más salvaje a medida que avanza.
Otro usuario de Twitter, @trading_axe, adoptó un enfoque diferente y dijo: "Creo que (CertiK) se equivocó... no digo que estuvieran robando, pero un ladrón tomaría todo lo que pudiera y se escaparía. Creo que se equivocaron". Lo malo es que solo se llevaron tres millones de dólares; si usaron este error para robar más de 100 millones, entonces si se lo devolvieran, parecerían sombreros blancos (la implicación es que eso los haría parecer un salvador). /tener la iniciativa). Sin embargo, sólo tomaste tres millones y ahora te ves obligado a devolverlos, lo que parece muy débil”.
