La empresa de seguridad blockchain CertiK reveló recientemente una grave vulnerabilidad que descubrió en el intercambio de criptomonedas Kraken y la consiguiente controversia. Mientras tanto, CertiK ha negado firmemente las acusaciones de extorsión de Kraken y dijo que devolvería los fondos utilizados para las pruebas.
Descubrimiento de vulnerabilidades y medidas tomadas
CertiK dijo que sus investigadores descubrieron una vulnerabilidad en el sistema de depósito de Kraken el 5 de junio que podría permitir a actores maliciosos falsificar transacciones de depósito y retirar fondos falsos. CertiK inició inmediatamente una investigación en profundidad y una serie de pruebas para verificar el riesgo real de la vulnerabilidad.
Las pruebas de CertiK revelaron un resultado sorprendente: se podían depositar millones de dólares en cualquier cuenta de Kraken, y se podían retirar más de 1 millón de dólares en criptomonedas falsificadas y convertirlas en moneda válida. Durante varios días de pruebas, estas acciones no generaron ninguna alerta. Kraken no respondió al incidente hasta días después y bloqueó la cuenta de prueba.
Controversias surgidas y pérdidas causadas
Aunque CertiK y Kraken inicialmente se comunicaron con éxito y tomaron medidas para solucionar la vulnerabilidad, la situación empeoró posteriormente. El 18 de junio, Kraken fue acusado de amenazar a los empleados de CertiK, exigiendo el reembolso de cantidades "inigualables" en un plazo irrazonable, sin proporcionar las direcciones de billetera pertinentes.
El jefe de seguridad de Kraken, Nick Percoco, reveló el 19 de junio que se perdieron casi 3 millones de dólares en su billetera debido a la vulnerabilidad. Señaló que el 9 de junio, Kraken recibió un aviso anónimo de un "investigador de seguridad" que reveló una grave vulnerabilidad en el sistema de financiación. Kraken descubrió que tres cuentas explotaron esta vulnerabilidad en un corto período de tiempo.
Plan de respuesta y reembolso de CertiK
CertiK negó las acusaciones de extorsión de Kraken y dijo que debido a que Kraken no proporcionó una dirección de pago y los montos solicitados no coincidían, CertiK transferirá los fondos nuevamente a una cuenta a la que Kraken tiene acceso según los registros. CertiK enfatizó que los fondos estaban destinados a "pruebas de sombrero blanco".
Kraken acusa a CertiK de actuar de manera poco ética y supuestamente criminal porque CertiK rechazó la solicitud de Kraken de devolver fondos y proporcionar datos. En cambio, CertiK organizó una reunión con Kraken para discutir la determinación del monto de la recompensa en función de las posibles pérdidas por no divulgación. #CertiK #Kraken #敲诈勒索 #指控 #交易所漏洞
Conclusión
El incidente no sólo puso de relieve la vulnerabilidad de los intercambios de criptomonedas en términos de seguridad, sino que también provocó debates sobre los límites éticos y legales de la investigación de seguridad.
La disputa entre CertiK y Kraken podría tener consecuencias duraderas para la confianza y la cooperación en el espacio de seguridad blockchain. A medida que las cuestiones legales y éticas se aclaren, la evolución de este incidente seguirá siendo vigilada de cerca tanto dentro como fuera de la industria.
