CertiK, la empresa de seguridad de contratos inteligentes, continúa afirmando que sus acciones contra el intercambio Kraken fueron éticas y que estaba tratando de estimar el alcance total de las fallas de seguridad. Los evaluadores también afirman que devolvieron todos los fondos en especie y no extorsionaron a Kraken.
El equipo de CertiK desarrolló una nueva declaración para refutar algunas afirmaciones anteriores de Kraken. Los evaluadores negaron las demandas de recompensa y afirmaron que su prioridad era solucionar la vulnerabilidad de poder imprimir fondos en una cuenta.
Leer: Kraken recupera 3 millones de dólares a medida que aumentan las críticas contra Certik
Todos los fondos retirados provinieron de las billeteras frías de Kraken y ninguna cuenta de usuario se vio afectada. Las monedas fueron devueltas según los propios cálculos y registros de transacciones de CertiK.
Preguntas y respuestas sobre las recientes operaciones de Whitehat de CertiK-Kraken: 1. ¿Algún usuario real perdió fondos? No. Las criptomonedas se acuñaron de la nada y ningún activo real de usuario de Kraken estuvo directamente involucrado en nuestras actividades de investigación.2. ¿Nos hemos negado a devolver los fondos?No. En nuestra comunicación con…
– CertiK (@CertiK) 20 de junio de 2024
La acción más controvertida de CertiK incluyó registros de envío de algunos fondos a Tornado Cash. El mezclador de monedas se ha enfrentado a sanciones anteriores del Departamento del Tesoro de EE. UU., que prohibía a las personas domiciliadas en EE. UU. interactuar con él.
CertiK conoce muy bien el uso de Tornado Cash e incluyó las transferencias como prueba de su hazaña. Anteriormente, CertiK también rastreó el uso de Tornado Cash como parte de exploits más antiguos. Uno de los principales focos de Certik sigue siendo la auditoría de contratos inteligentes, que a menudo contienen fallas lógicas similares que conducen a la creación ilimitada de tokens.
El enfoque de CertiK respecto del hacking ético puso nerviosos a los observadores, ya que se enviaron pequeñas sumas directamente a Tornado Cash para probar el exploit. Algunos pasos del proceso de prueba de Kraken se filtraron en las redes sociales antes de que Kraken finalmente le notificara el tamaño real del exploit.
La cuestión de la recompensa por errores no se ha discutido, pero CertiK sigue afirmando que no necesitaba una recompensa para devolver los fondos. Hasta ahora, el equipo de seguridad de Kraken no ha anunciado ninguna recompensa por CertiK.
Kraken admite haber recibido todos los fondos
CertiK generó saldos en la plataforma centralizada Kraken y realizó retiros en nombre de esas cuentas.
Las afirmaciones de Kraken de que CertiK era inexacta en sus resultados fueron las más controvertidas. Sin embargo, esto fue desmentido unos días después. El director de seguridad de Kraken, Nick Percoco, anunció que los fondos fueron devueltos en su totalidad menos las tarifas de transacción.
Actualización: ahora podemos confirmar que los fondos han sido devueltos (menos una pequeña cantidad perdida por tarifas). https://t.co/cHkjPt3m2A
– Nick Percoco (@c7five) 20 de junio de 2024
La contabilidad de CertiK informó retiros de solo ETH, USDT y XMR, mientras que Kraken también afirmó que también se retiraron y mezclaron 155.818,44 MATIC. Los retiros se estimaron en alrededor de 3 millones de dólares, aunque Certik utilizó una pequeña suma para demostrar el exploit.
Un análisis más detallado del exploit mostró que CertiK generó saldos MATIC inexistentes, pero las transacciones fallaron y no salieron fondos de las billeteras frías de Kraken. El MATIC generado fue solo un exploit interno que no resultó en la transferencia de tokens Polygon reales.
#Certik: A primera vista, parece que el exploit de Certik consiste en:1. Crear un contrato y depositar fondos en él2. Generando el evento LogFeeTransfer()3. @krakenfx escanea LogFeeTransfer() en sus direcciones de depósito y no parece verificar si los MATIC están realmente allí pic.twitter.com/QI4bdXJdbz
– Naïm Boubziz (@BrutalTrade) 20 de junio de 2024
En algunos casos, se puede simular la presencia de fondos, ya que otros protocolos han sido atacados con préstamos flash.
CertiK afirmó que los exploits volvieron a aumentar en junio, con más de 30 millones de dólares extraídos de aplicaciones y protocolos. El recuento no incluye ataques contra billeteras individuales.
Tornado Cash sigue operativo años después de las sanciones
El mezclador Tornado Cash sigue facilitando exploits, ya que los fondos no se pueden rastrear después de pasar por el mezclador. Incluso después de incluir billeteras y direcciones en la lista negra, no hay nada que impida a los piratas informáticos mezclar ETH y enviarlo a nuevas billeteras desconocidas.
Lea también: Grupo detrás de la demanda de Tornado Cash pierde ante el Tesoro de EE.UU.
Desde 2022, Tornado Cash tiene recursos limitados, pero el servicio sigue operativo.
El fundador de Tornado Cash, Alexey Pertsev, recibió una sentencia en mayo de 2024, con posibles años tras las rejas. Sin embargo, las sanciones y prohibiciones no impiden que nadie utilice el mezclador, lo que no afecta a jurisdicciones fuera de EE. UU.
Algunas monedas, como el USDC, han incluido en la lista negra todos los contratos de Tornado Cash. Los fondos enviados al contrato no se pueden recuperar nuevamente. El USDC también es conocido por su capacidad centralizada para congelar monedas. Para Kraken, la capacidad de retirarse a una dirección de contrato de Tornado Cash también fue una vulnerabilidad importante. La mayoría de los productores de tokens optan por no ejercer control sobre los tokens, dejándolos vulnerables al robo e irrecuperables mediante la mezcla.
Informe criptopolitano de Hristina Vasileva
