La empresa de seguridad blockchain CertiK confirmó que estaba detrás de un error que resultó en un retiro no autorizado de tokens por valor de $3 millones de Kraken.

CertiK, la empresa de seguridad blockchain con sede en Nueva York, admitió estar detrás de un error que resultó en un retiro no autorizado de tokens por valor de $ 3 millones del intercambio de cifrado Kraken.

En un hilo del 19 de junio en X, CertiK reveló que había identificado una serie de "vulnerabilidades críticas" en el intercambio de Kraken que podrían "potencialmente generar pérdidas de cientos de millones de dólares".

CertiK identificó recientemente una serie de vulnerabilidades críticas en el intercambio @krakenfx que podrían generar pérdidas de cientos de millones de dólares. A partir de un hallazgo en el sistema de depósito de @krakenfx donde puede no diferenciar entre diferentes internos… pic.twitter.com/ JZkMXj2ZCD

– CertiK (@CertiK) 19 de junio de 2024

Según CertiK, el problema se identificó por primera vez el 5 de junio y Kraken falló en múltiples pruebas, lo que indica que el sistema de defensa en profundidad del intercambio estaba "comprometido en múltiples frentes". La empresa señaló en particular que logró eludir los controles de riesgo de retiro del intercambio sin activar ninguna alerta.

“Se puede retirar de la cuenta una gran cantidad de criptomonedas fabricadas (con un valor de más de 1 millón de dólares) y convertirlas en criptomonedas válidas. Peor aún, no se activaron alertas durante el período de prueba de varios días. Kraken solo respondió y bloqueó las cuentas de prueba días después de que informamos oficialmente el incidente”.

CertiK

También te puede interesar: El jefe de seguridad de Kraken revela que un cambio en la experiencia de usuario resultó en una explotación de errores de 3 millones de dólares

Al descubrir las fallas, CertiK afirma que informó a Kraken, cuyo equipo de seguridad clasificó el problema como "crítico". Sin embargo, después de que se identificó y solucionó el exploit, CertiK alega que el equipo de operaciones de seguridad de Kraken "amenazó" a empleados individuales de CertiK, exigiendo el reembolso de una "cantidad no coincidente de criptografía en un tiempo irrazonable, incluso sin proporcionar direcciones de pago".

CertiK instó a Kraken a "cesar cualquier amenaza contra los hackers de sombrero blanco", afirmando su compromiso con la comunidad web3 "en un espíritu de transparencia". Sin embargo, el incidente ha provocado controversia y escepticismo dentro de la comunidad blockchain, ya que los investigadores de blockchain han destacado discrepancias en el cronograma y las afirmaciones de CertiK.

JAJAJAJA, MALDITOS PAYASOS No existe absolutamente NINGÚN universo en el que esto sea "investigación de seguridad de sombrero blanco". Kraken está siendo increíblemente paciente para no llamar a esto lo que claramente es: un robo multimillonario con un lado de extorsión.

– Tay 💖 (@tayvano_) 19 de junio de 2024

Como señaló el director de tecnología de Cyvers, Meir Dolev, en su cuenta X, una dirección asociada con CertiK comenzó una actividad sospechosa en múltiples redes blockchain semanas antes de que se informara por primera vez el incidente de Kraken, lo que generó dudas sobre el cronograma proporcionado por CertiK.

¡¡Después del incidente @krakenfx, comenzó una actividad similar en la base hace 26 días!! El mismo hash de firma también se usó en Polygon hace 14 días. Entonces, ¿deberíamos creer en el cronograma de Cetik de que encontraron la vulnerabilidad recién el 5 de junio?@tayvano_ pic.twitter.com/cvAnVrTg67

– Meir Dolev (@Meir_Dv) 19 de junio de 2024

En una publicación de seguimiento bajo el hilo de CertiK, el director de Coinbase, Conor Grogan, señaló que las direcciones asociadas con CertiK enviaron parte de las criptomonedas retiradas a Tornado Cash, un servicio de mezcla sancionado por la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE. UU. por facilitar aproximadamente $7 mil millones en lavado de criptomonedas desde 2019.

Los informes también alegan que las direcciones asociadas a CertiK enviaron partes de las criptomonedas retiradas a ChangeNOW, un intercambio de criptomonedas sin custodia. Al cierre de esta edición, CertiK no ha hecho declaraciones públicas sobre por qué interactuó con Tornado Cash y ChangeNOW, aunque afirma haber devuelto todos los tokens retirados a Kraken.

Leer más: Telegram refuta la afirmación de riesgo de seguridad de descarga automática de CertiK