Dentro de la lucha de 47 minutos de Kraken para corregir un error de 3 millones de dólares y defenderse de un hacker inesperado

Cuando Nick Percoco, director de seguridad de Kraken, se enteró el mes pasado de que el intercambio había sido pirateado por 3 millones de dólares, volaba a 40.000 pies en camino a unas merecidas vacaciones.

Pero en lugar de relajarse en Japón, Percoco tuvo que saltar a la brecha y ayudar a gestionar una de las peores crisis de seguridad que afectó al séptimo mayor intercambio de cifrado del mundo.

"Resultó que obtuve acceso a Wi-Fi en el vuelo", dijo Percoco a DL News. “Estaba comunicándome de último momento con gente del trabajo, leyendo noticias en Twitter. Y vi eso y luego los dirigió a la recompensa por errores”.

El 19 de junio, Kraken reveló que un investigador de seguridad independiente informó de una vulnerabilidad crítica en el programa de recompensas por errores del intercambio.

Estos programas ofrecen dinero a los atacantes a cambio de identificar vulnerabilidades en los proyectos.

Esta debilidad particular permitió al investigador acreditar dinero en sus cuentas Kraken a voluntad. El detective trabajó para CertiK, la firma de auditoría de seguridad y criptografía, que dijo haber identificado esta vulnerabilidad.

En el transcurso de cinco días, CertiK retiró 3 millones de dólares en criptomonedas del intercambio, dijo Percoco.

Esto es muy inusual. Se supone que las empresas de seguridad no deben explotar una vulnerabilidad durante tanto tiempo y por tanto dinero, afirmó Percoco.

Finalmente se devolvieron los fondos y el error se solucionó en 47 minutos. Aún así, fue un episodio sorprendente, incluso para los estándares criptográficos.

Fue una violación masiva de uno de los intercambios más establecidos de la industria. Fundado en 2011, el ascenso de Kraken ha sido sinónimo de la institucionalización de Bitcoin.

En enero, se aprobaron 11 ETF de Bitcoin al contado diferentes. Meses después, Kraken está recaudando fondos antes de una posible oferta pública inicial.

La hazaña también fue extraña. CertiK, una empresa basada en la seguridad de códigos para criptomonedas, pareció romper casi todos los estándares de la industria con respecto a las recompensas por errores. Incluso intentaron concertar una llamada de ventas con el equipo de seguridad de Kraken durante la debacle.

CertiK no respondió de inmediato a la solicitud de comentarios de DL News.

En un tweet, Percoco dijo que CertiK estaba extorsionando al intercambio en lugar de piratear el sombrero blanco.

Reglas de juego

Los programas de recompensas por errores son comunes en las industrias de tecnología y criptografía.

Cualquier proyecto criptográfico que valga su código reserva dinero en efectivo para varias auditorías de sus contratos inteligentes y otra cantidad para recompensar a los piratas informáticos astutos, pero éticos, que identifican un error.

El mes pasado, un investigador ganó 2 millones de dólares por identificar un error en la red de capa 1 Sei. Kraken paga hasta 1,5 millones de dólares por errores críticos como el que ocurrió recientemente.

Percoco, investigador de seguridad desde finales de los años 90, dice que el programa Kraken existe desde hace una década. Su bandeja de entrada se llena de exploits falsos de personas que buscan un pago rápido.

Incluso pensó que el informe de CertiK era falso.

“El mensaje fue 'debe comunicarse con nosotros lo antes posible' y no había información de contacto. Ni siquiera podía enviar mensajes directos”, dijo. "Era un poco cuestionable si se trataba de alguien que simplemente intentaba estafarnos".

banderas rojas

Aún así, el equipo de cinco personas que monitorea esa bandeja de entrada día y noche debe revisar cada informe. Dado que Kraken genera más de mil millones de dólares en volumen de operaciones diario, hay mucho en juego.

La falta de información de contacto no fue la única señal de alerta, dijo Percoco.

Los recolectores de recompensas deben seguir cuatro reglas para informar errores. En primer lugar, deben informar del error a la empresa tan pronto como lo identifiquen.

En segundo lugar, los recolectores de recompensas deben demostrar que pueden explotar el error. En tercer lugar, al presentar pruebas, sólo deben aceptar el dinero suficiente para demostrar la vulnerabilidad.

Y finalmente, tienen que contratar a la empresa para volver a probar el exploit y ver si logró solucionarlo.

CertiK adoptó un enfoque diferente, rompiendo las cuatro reglas, según Percoco.

Dolores de crecimiento criptográfico

Con BlackRock y Fidelity invadiendo el espacio, la seguridad y las recompensas por errores están en el centro de atención. Pero a diferencia de otras industrias, donde las mejores prácticas duran años, en criptografía pueden durar solo unos días.

Las empresas siguen invirtiendo dinero en programas de recompensas por errores a pesar del último incidente.

Según la plataforma de recompensas por errores HackerOne, el intercambio de cifrado Crypto.com ofrece 80.000 dólares por un error crítico. El servicio de custodia Fireblocks ofrece una enorme recompensa de 250.000 dólares por vulnerabilidades similares.

Incluso Coinbase, que cotiza en bolsa, pagará 1 millón de dólares, si logras acceder al intercambio.

Las recompensas por errores son redes de seguridad costosas y a veces torpes, pero con 664 millones de dólares ya robados este año, siguen siendo claramente necesarias.

Liam Kelly es corresponsal de DeFi en DL News. Comuníquese con liam@dlnews.com.