El exchange de criptomonedas Kraken confirmó el 20 de junio la recuperación de casi 3 millones de dólares en activos digitales de la firma de seguridad blockchain CertiK luego de acusaciones de extorsión que habían eclipsado su hackeo de sombrero blanco.
El director de seguridad de Kraken, Nick Percoco, se dirigió a X para anunciar la devolución de los fondos, menos el monto gastado en tarifas de transacción.
Actualización: ahora podemos confirmar que los fondos han sido devueltos (menos una pequeña cantidad perdida por tarifas). https://t.co/cHkjPt3m2A
– Nick Percoco (@c7five) 20 de junio de 2024
El CSO de Kraken informó por primera vez de los 3 millones de dólares en fondos faltantes el 19 de junio, afirmando que un "investigador de seguridad" los había retirado maliciosamente de la tesorería después de descubrir y revelar un error existente.
Kraken alegó que el investigador de seguridad los había extorsionado, negándose a devolver los fondos y exigiendo una recompensa junto con una llamada al equipo de desarrollo comercial del intercambio.
CertiK aclara las acusaciones
Poco después de la publicación de Kraken sobre los fondos faltantes, la empresa de seguridad blockchain CertiK se identificó públicamente como el "investigador de seguridad" que, según Kraken, robó 3 millones de dólares en activos digitales.
Esto se produjo en un esfuerzo por cuestionar las acusaciones y disipar cualquier noción de intención maliciosa.
En una publicación X del 19 de junio, CertiK dijo que había informado a Kraken sobre un exploit que le permitió eliminar millones de dólares de las cuentas del intercambio. CertiK también afirmó haber sido amenazado por el equipo del intercambio.
"Después de conversiones iniciales exitosas para identificar y solucionar la vulnerabilidad, el equipo de operaciones de seguridad de Kraken ha AMENAZADO a los empleados individuales de CertiK con reembolsar una cantidad DISTINTA de criptografía en un tiempo IRRAZONABLE, incluso SIN proporcionar direcciones de pago", afirmó CertiK.
Para aclarar su versión de los hechos, CertiK también publicó una cronología de los eventos, que cubre todo el discurso, comenzando con la identificación del exploit el 5 de junio.
Cronología de eventos
¿Por qué retiraron 3 millones de dólares?
El CSO de Kraken inicialmente declaró que la primera transferencia maliciosa, con un valor de sólo $4, habría sido suficiente para probar el error y ganar "recompensas considerables" del programa de recompensas de Kraken.
El investigador de seguridad, que más tarde se reveló como CertiK, había acuñado casi 3 millones de dólares en sus cuentas de Kraken.
En una publicación X tras la devolución de los 3 millones de dólares, CertiK respondió muchas preguntas importantes sobre la situación. Lo más importante es que explicaron la justificación de la gran suma.
"Queremos probar el límite de la protección y los controles de riesgo de Kraken", afirmó CertiK. "Después de múltiples pruebas durante varios días y cerca de $3 millones en criptomonedas, no se activaron alertas y todavía no hemos determinado el límite".
Preguntas y respuestas sobre las operaciones recientes de Whitehat de CertiK-Kraken:
1. ¿Algún usuario real perdió fondos? No. Las criptomonedas se acuñaron del aire y ningún activo real de usuario de Kraken estuvo directamente involucrado en nuestras actividades de investigación.
2. ¿Nos hemos negado a devolver los fondos?No. En nuestra comunicación con…
– CertiK (@CertiK) 20 de junio de 2024
Además, CertiK afirma que no tenían intenciones de ofrecer una recompensa; fue algo mencionado en el intercambio.
"Nunca mencionamos ninguna solicitud de recompensa", dijo CertiK. "Fue Kraken quien nos mencionó por primera vez su recompensa, mientras que respondimos que la recompensa no era el tema prioritario y queríamos asegurarnos de que el problema se solucionara".
CertiK destacó que sus esfuerzos no fueron a expensas de ningún usuario de Kraken. Los fondos fueron "acuñados del aire".
A pesar de su alegada inocencia, la situación ha provocado un debate sobre la naturaleza del hacking ético, los protocolos de comunicación adecuados y el manejo adecuado de las vulnerabilidades descubiertas.
