En este artículo hablamos de una historia increíble: hace unos días la empresa auditora Certik identificó una falla en los sistemas de seguridad del exchange de criptomonedas Kraken que podría derivar en un hackeo grave.

Después de realizar algunas pruebas durante 3 días y ejecutar un ataque de “hack blanco” por valor de 3 millones de dólares, Certik se puso en contacto con Kraken para informarle del error, pero inicialmente se negó a devolver de inmediato la cantidad robada.

El intercambio de criptomonedas se puso en contacto de inmediato con las autoridades y trató la situación como un caso penal, mientras que la empresa de seguridad criptográfica insiste en que es una prueba típica de un "programa de recompensas". Ahora los fondos parecen haber sido devueltos.

Veamos todo en detalle a continuación.

El hackeo de 3 millones de dólares contra el exchange de criptomonedas Kraken: Certik es responsable, pero se niega a devolver el dinero

Esta historia comienza el 9 de junio de 2024, cuando el criptoexchange Kraken recibe una comunicación informal de un “investigador de seguridad” que afirma haber descubierto una vulnerabilidad en la plataforma que podría haber provocado un hack a gran escala.

Como informó Nick Percoco, director de seguridad de Kraken, en un tweet post-mortem, el investigador había destacado una falla en los sistemas de seguridad de los depósitos (incapaces de distinguir diferentes estados de transferencia interna), que permite a los usuarios inflar su saldo y retirar más monedas de las que realmente tienen disponibles. El intercambio tomó medidas de inmediato para resolver el problema y en solo 47 minutos un equipo de expertos logró solucionar el error.

Esto es lo que informó Percoco:

“El error permitió a un atacante malintencionado, en las circunstancias adecuadas, iniciar un depósito en nuestra plataforma y recibir fondos en su cuenta sin completar el depósito. Para ser claros, ningún activo del cliente estuvo nunca en riesgo”.

Actualización de seguridad de Kraken:

El 9 de junio de 2024, recibimos una alerta del programa Bug Bounty de un investigador de seguridad. Inicialmente no se revelaron detalles, pero su correo electrónico afirmaba haber encontrado un error "extremadamente crítico" que les permitió inflar artificialmente su saldo en nuestra plataforma.

– Nick Percoco (@c7five) 19 de junio de 2024

Hasta ahora todo es normal, salvo que la misma empresa de seguridad web3 donde trabaja el investigador que contactó con Kraken, antes de reportar oficialmente el error, habría realizado varios hackeos a la plataforma por un total de 3 millones de dólares.

Inmediatamente después de la publicación del artículo de Percoco, la conocida firma de auditoría Certik inmediatamente asumió la responsabilidad del incidente y reveló su papel crucial en el asunto.

Certik supuestamente "probó" los mecanismos de defensa de Kraken llevando a cabo un ataque a gran escala y retirando grandes cantidades de tokens MATIC de 3 cuentas diferentes, y luego limpiando los rastros de los fondos a través del mezclador Tornado Cash.

 Según explicó el gerente de seguridad del intercambio, después de solucionar el problema, Kraken le pidió a Certik que le devolviera los fondos, pero ella inicialmente se negó.

Pese a ello, Certik insiste en que su actividad se ajusta a los principios del “white hack”.

Aparentemente Certik no mencionó el papel del explotador de 3 cuentas en el incidente, a pesar de haber realizado las pruebas de retiro en los 3 días previos a las comunicaciones con Kraken.

El investigador de seguridad que detectó el error habría pedido una recompensa sustancial por haber identificado una falla importante que podría haber implosionado en un hack pesado, pero Kraken insistió en recuperar sus fondos.

Dado que la empresa auditora se negó a devolver el botín y, de hecho, parecía haber tomado medidas para ocultar la evidencia del hackeo, el intercambio decidió tratar la situación como si fuera un caso penal notificando a las autoridades competentes y a las fuerzas del orden.

La compañía de seguridad web3 había pedido al intercambio una recompensa igual a la cantidad que se especulaba que este error podría haber causado si no se hubiera revelado, enfureciendo al equipo de la plataforma de intercambio.

Percoco comentó en su perfil X sobre lo sucedido, mostrando toda su oposición al comportamiento de Certik:

“Esto no es piratería blanca, es extorsión”.

No revelaremos esta empresa de investigación porque no merecen reconocimiento por sus acciones. Estamos tratando esto como un caso penal y estamos coordinando con las agencias policiales en consecuencia. Estamos agradecidos de que se haya informado de este problema, pero ahí es donde termina ese pensamiento.

– Nick Percoco (@c7five) 19 de junio de 2024

La negación de Certik: los fondos se devolvieron a pesar de que algunos empleados recibieron amenazas del equipo Kraken

Certik, después de presentarse como la empresa responsable de identificar la falla en los sistemas de depósito, inmediatamente negó lo informado por Kraken, destacando su papel de “hack blanco” y sus intenciones positivas.

La empresa reveló que había organizado un hackeo a gran escala, por un importe de 3 millones de dólares, con el único fin de probar la defensa del intercambio, pero también enfatizó que nunca se negó a devolver el botín, sino que quería asegurarse de que todo se ejecutó correctamente.

Certik dijo que estaba sorprendida por el posible impacto negativo que el error podría haber causado, pero especialmente por el hecho de que las alarmas de Kraken nunca se activaron. Así lo afirmó en una publicación: 

“Se pueden depositar millones de dólares en CUALQUIER cuenta de Kraken. Se puede retirar una gran cantidad de criptomonedas (por valor de más de 1 millón de dólares) de la cuenta y convertirlas en criptomonedas válidas. Peor aún, durante el período de prueba de varios días, no se activó ninguna alerta”.

Además, la empresa auditora explicó que un miembro del equipo de intercambio había amenazado a su propio investigador con devolver el importe en un plazo irrazonable (6 horas), sin proporcionar, sin embargo, una dirección de pago.

Esto se produjo luego de que, días después del hackeo, las dos empresas tuvieran una llamada para intentar buscar una solución y resolver el asunto.

CertiK identificó recientemente una serie de vulnerabilidades críticas en el intercambio @krakenfx que podrían generar pérdidas de cientos de millones de dólares.

A partir de un hallazgo en el sistema de depósito de @krakenfx donde puede no diferenciar entre diferentes internos… pic.twitter.com/JZkMXj2ZCD

– CertiK (@CertiK) 19 de junio de 2024

Al parecer, lo que desencadenó el caos fue el importe de la recompensa propuesta por Kraken, que no se consideró adecuada al esfuerzo realizado y al potencial exploit evitado. Según lo informado por un portavoz de Kraken a Coindesk:

“Involucramos a estos investigadores de buena fe y, en línea con una década de gestión de un programa de recompensas por errores, ofrecimos una recompensa considerable por sus esfuerzos. Estamos decepcionados por esta experiencia y ahora estamos trabajando con las autoridades para recuperar los activos de estos investigadores de seguridad”.

Hoy Certik publicó otro post con algunas preguntas frecuentes para aclarar aún más su postura y despejar cualquier duda.

La empresa de seguridad reitera que ha confirmado "consistentemente" que devolverá la cantidad robada y afirma que ahora todos los fondos están nuevamente en manos de Kraken.

Estos fondos fueron devueltos al remitente en 734.19215 ETH, 29.001 USDT y 1021.1 XMR, mientras que el intercambio había solicitado expresamente enviar 155818.4468 MATIC, 907400.1803 USDT, 475.5557871 ETH y 1089.794737 XMR, por un valor total equivalente mayor en aproximadamente 100.000 dolares .

Preguntas y respuestas sobre las operaciones recientes de Whitehat de CertiK-Kraken:

1. ¿Algún usuario real perdió fondos?
No. Las criptomonedas se crearon de la nada y ningún activo real de usuario de Kraken estuvo directamente involucrado en nuestras actividades de investigación.

2. ¿Nos hemos negado a devolver los fondos?
No. En nuestra comunicación con…

– CertiK (@CertiK) 20 de junio de 2024

Kraken se mantiene firme en su concepto ético de “hacking blanco” y sostiene que el acoso llevado a cabo por Certik puede identificarse como extorsión.

De hecho, el programa Bounty del intercambio requiere que terceros encuentren el problema, exploten la cantidad mínima necesaria para probar el error (sin ejecutar un hack de 3 millones de dólares), devuelvan los recursos y proporcionen detalles sobre la vulnerabilidad.