Cuando el criptoauditor CertiK dijo el miércoles que sus empleados descubrieron y explotaron un error en Kraken, la bolsa de EE.UU., por 3 millones de dólares, se levantaron las cejas.
Cuando CertiK luego dijo que había devuelto los fondos a la bolsa de EE. UU. como parte de la llamada operación de sombrero blanco, la empresa recibió la disconformidad de un jugador particularmente enojado: Kraken.
“¡Esto no es un hackeo de sombrero blanco, es una extorsión!” Nick Percoco, director de seguridad de Kraken, dijo en una publicación X el miércoles.
Percoco dijo que quienes encontraron el error dijeron que no devolverían ningún dinero hasta que Kraken revelara cuánto daño podría haber causado.
CertiK no tardó en responder a las declaraciones de Kraken. "Nos acusaron públicamente de robo e incluso amenazaron directamente a nuestros empleados, lo cual es completamente inaceptable".
La inusual duración (y la friolera de 3 millones de dólares) del exploit de CertiK provocó una avalancha de preguntas. Por lo general, las pruebas de ciberdefensa con sombrero blanco obtienen una cantidad mínima de dinero simplemente para demostrar la vulnerabilidad.
"Es una cantidad increíble para aprovechar el interés de un exploit de sombrero blanco", dijo a DL News Michael Lewellen, jefe de soluciones de la firma de auditoría competidora OpenZeppelin.
Lewellen dijo que los investigadores de seguridad han sido despedidos por este tipo de comportamiento.
"Si un investigador de seguridad de cualquier otra firma de auditoría de buena reputación cometiera este tipo de hazaña, sería despedido y repudiado inmediatamente", dijo.
"Nunca se roban fondos de un cliente a menos que exista algún peligro inmediato sin tiempo para alertar a un equipo e incluso entonces se está asumiendo un gran riesgo que muchas firmas de auditoría prefieren no asumir por estas razones".
"En el momento en que descubres que algo anda mal, debes velar por la seguridad de los usuarios".
Pascal Caversaccio, investigador de seguridad
Pascal Caversaccio, un investigador de seguridad independiente, dijo que es extraño que la prueba del sistema Kraken por parte de CertiK durara días. Debería haberse resuelto en cuestión de minutos.
"En el momento en que descubres que algo anda mal, debes velar por la seguridad de los usuarios", dijo a DL News. "Esto es tan estupido. No sólo desde una perspectiva de seguridad sino también desde una perspectiva empresarial”.
Hay otras anomalías.
Los registros en cadena muestran que una dirección vinculada a CertiK envió fondos al protocolo DeFi Tornado Cash, que fue sancionado por la Oficina de Control de Activos Extranjeros del Departamento del Tesoro de EE. UU. u OFAC.
Ángulo de efectivo del tornado
Aunque CertiK ha devuelto activos a Kraken, enviar algunos a través de Tornado Cash podría violar las sanciones de Estados Unidos. Según el sitio web de la OFAC, las sanciones por hacerlo pueden superar varios millones de dólares.
Lewellen dijo que usar Tornado Cash para hackear whitehat es extraño.
"Nunca he oído hablar de un sombrero blanco que utilice Tornado Cash, especialmente teniendo en cuenta el riesgo de sanciones", dijo. "Por lo general, no se utiliza Tornado Cash después de las sanciones a menos que ya esté cometiendo un delito y el riesgo de violar las sanciones sea superado".
Otras partes de los fondos que CertiK retiró de Kraken se enviaron a ChangeNOW, un intercambio de cifrado que no requiere controles de conocimiento de sus clientes. CertiK también intercambió monedas estables USDT que retiró de Kraken por ETH.
"Si eres un whitehat, no hagas esto", dijo en X Taylor Monahan, un experto en criptoseguridad.
CertiK no respondió de inmediato a una solicitud de comentarios y no ha abordado estas transacciones públicamente.
Tim Craig es corresponsal de DeFi en DL News. ¿Tienes un consejo? Envíele un correo electrónico a tim@dlnews.com.
