El error que Kraken dijo que había solucionado se había utilizado para explotar otros intercambios centralizados ya el mes pasado, según varios expertos en criptoseguridad.

Este es el último desarrollo en la saga de dos importantes actores criptográficos, el exchange Kraken con sede en EE. UU. y el auditor CertiK.

El miércoles, Kraken dijo que había solucionado un error "crítico" que permitía retirar por error millones de dólares en criptomonedas del intercambio con sede en EE. UU.

CertiK fue criticada después de admitir estar detrás del exploit de ese error. La empresa retiró 3 millones de dólares de Kraken durante varios días a principios de junio.

Después de un intercambio público, CertiK devolvió todos los fondos que tomó y calificó sus acciones como una operación de sombrero blanco, lo que significa que aparentemente actuaron como piratas informáticos éticos con la intención de identificar y corregir vulnerabilidades de seguridad en lugar de explotarlas con fines maliciosos.

Los registros en cadena identificados por primera vez por la plataforma de seguridad Hexagate, y confirmados a DL News por muchos otros investigadores de seguridad, muestran que un pirata informático intentó explotar otros intercambios de cifrado (Binance, OKX, BingX y Gate.io) utilizando el mismo error ya el 17 de mayo.

Esos intentos se produjeron tres semanas antes de que CertiK dijera que encontró el error en Kraken el 5 de junio.

"No tenemos evidencia de que estos intercambios se hayan visto afectados", publicó Hexagate en X. "Solo rastreamos evidencia en cadena de actividad similar".

Los intercambios de cifrado centralizados mantienen una cantidad gigantesca de cifrado en nombre de sus clientes. Los cinco principales intercambios de criptomonedas que han revelado públicamente sus direcciones de billetera poseen un valor combinado de $172 mil millones en criptomonedas, según datos de DefiLlama.

CertiK no respondió de inmediato a la solicitud de comentarios de DL News.

Intentos de explotación

Los registros destacados por Hexagate muestran que un pirata informático intentó utilizar el llamado ataque de "reversión" para engañar a los intercambios centralizados y permitirles retirar fondos.

Para ello, el hacker creó un contrato inteligente que contiene una transacción para depositar fondos en un intercambio centralizado. El contrato está diseñado para que la transacción principal tenga éxito pero el depósito se revierta.

Esto engaña al intercambio haciéndole creer que un usuario ha depositado fondos cuando no lo ha hecho. Luego, el pirata informático solicita un retiro del intercambio y debita el monto del depósito falso.

Los registros de Onchain muestran múltiples intentos de utilizar dicho contrato cuando el depósito de fondos en Binance tuvo lugar en BNB Chain el 17 de mayo.

Entre el 29 de mayo y el 5 de junio, la misma dirección, así como otra financiada por ella, hicieron intentos similares en OKX, BingX y Gate.io en BNB Chain, Arbitrum y Optimism.

¿Está CertiK involucrado?

Aunque CertiK reveló públicamente por primera vez el ataque de reversión, no hay pruebas de que estuviera involucrado en esos ataques anteriores.

Cada una de las funciones de contratos inteligentes tiene un llamado hash de firma mediante el cual pueden ser identificadas.

En el caso del contrato de ataque de reversión, el hash de firma no está disponible, lo que significa que el nombre de la función no se conoce públicamente, dijo a DL News un investigador de seguridad que deseaba permanecer en el anonimato.

Esto significa que CertiK conoce el nombre de la función para el ataque de reversión o que alguien más también ha usado exactamente el mismo nombre, dijo el investigador.

Tim Craig es corresponsal de DeFi de DL News con sede en Edimburgo. Comuníquese con él para darle consejos en tim@dlnews.com.