Kraken sostiene que CertiK fue excesivo, pero la empresa de ciberseguridad insiste en que fueron necesarios retiros a gran escala para determinar la magnitud del problema.

La semana pasada, Kraken anunció que un error crítico había permitido a los investigadores de seguridad inflar artificialmente su saldo y retirar casi 3 millones de dólares.

Actualización de seguridad de Kraken: el 9 de junio de 2024, recibimos una alerta del programa Bug Bounty de un investigador de seguridad. Inicialmente no se revelaron detalles, pero su correo electrónico afirmaba haber encontrado un error "extremadamente crítico" que les permitió inflar artificialmente su saldo en nuestra plataforma.

– Nick Percoco (@c7five) 19 de junio de 2024

Pero hubo algo increíblemente inusual en todo el incidente y terminó provocando una guerra de palabras entre el intercambio de cifrado y una importante empresa de ciberseguridad. 

El director de seguridad de Kraken, Nick Percoco, comenzó anunciando que se había encontrado una falla que permitía a actores maliciosos imprimir fondos en una cuenta.

Se necesitaron 47 minutos para mitigar el problema y unas horas para solucionarlo por completo. Hasta ahora, todo esto parece bastante normal y rutinario.

Pero Percoco intensificó aún más las cosas al afirmar que el investigador de seguridad involucrado le había contado a dos de sus colegas sobre el problema, permitiéndoles tomar fondos de la empresa por valor de millones.

Dijo que Kraken había pedido detalles sobre cómo se logró el exploit y había tratado de hacer arreglos para que los fondos fueran devueltos en su totalidad, pero alegó que el intercambio fue rechazado.

“En cambio, exigieron una llamada a su equipo de desarrollo comercial (es decir, sus representantes de ventas) y no aceptaron devolver ningún fondo hasta que proporcionemos una cantidad especulada de dólares que este error podría haber causado si no lo hubieran revelado. ¡Esto no es un hackeo de sombrero blanco, es una extorsión!

Nick Percoco

Percoco continuó afirmando que los investigadores no habían trabajado dentro del espíritu del programa de recompensas por errores porque extrajeron mucho más de lo que necesitaban, no proporcionaron una prueba de concepto y no devolvieron el dinero de inmediato.

Entonces, ¿qué estaba pasando aquí? ¿Se trataba de un hacker de sombrero blanco que se dirigía hacia el lado oscuro? ¿Alguien retiene a Kraken para pedir rescate? ¿Un asunto penal?

También te puede interesar: Cómo comprar monedas antes de que coticen

CertiK da un paso adelante

Aquí es donde la historia da un giro inusual. Se podría haber asumido que la hazaña fue orquestada por un adolescente brillante encerrado en algún lugar de su dormitorio. De hecho, lo llevó a cabo CertiK, uno de los mayores auditores en el espacio Web3.

Apenas tres horas después del hilo de Percoco sobre X, la compañía dio un paso adelante con su propia versión de los hechos.

CertiK identificó recientemente una serie de vulnerabilidades críticas en el intercambio @krakenfx que podrían generar pérdidas de cientos de millones de dólares. A partir de un hallazgo en el sistema de depósito de @krakenfx donde puede no diferenciar entre diferentes internos… pic.twitter.com/ JZkMXj2ZCD

– CertiK (@CertiK) 19 de junio de 2024

Dijo que días tras días de pruebas no habían logrado arrojar ninguna señal de alerta en los sistemas internos de Kraken, lo que significa que el equipo de seguridad del intercambio solo intervino después de que se le informó sobre la falla.

"Después de conversiones iniciales exitosas para identificar y solucionar la vulnerabilidad, el equipo de operaciones de seguridad de Kraken ha AMENAZADO a los empleados individuales de CertiK con reembolsar una cantidad DISTINTA de criptografía en un tiempo IRRAZONABLE, incluso SIN proporcionar direcciones de pago".

CertiK

CertiK instó a Kraken a "cesar cualquier amenaza contra los piratas informáticos de sombrero blanco".

Un día después, siguió con un hilo respondiendo preguntas sobre su investigación.

Preguntas y respuestas sobre las recientes operaciones de Whitehat de CertiK-Kraken: 1. ¿Algún usuario real perdió fondos? No. Las criptomonedas se acuñaron de la nada y ningún activo real de usuario de Kraken estuvo directamente involucrado en nuestras actividades de investigación.2. ¿Nos hemos negado a devolver los fondos?No. En nuestra comunicación con…

– CertiK (@CertiK) 20 de junio de 2024

Además de enfatizar que ningún cliente de Kraken terminó perdiendo dinero, CertiK enfatizó que había "asegurado constantemente" a la empresa que el dinero sería devuelto, y así fue. ¿El único punto conflictivo? Desacuerdo sobre cuánto se debía realmente el intercambio.

Al explicar por qué decidió explotar la falla a tan gran escala, la compañía agregó:

“Queremos probar el límite de la protección y los controles de riesgo de Kraken. Después de múltiples pruebas durante varios días y cerca de tres millones en criptomonedas, no se activaron alertas y todavía no hemos determinado el límite”.

CertiK

Leyendo entre líneas, parece que CertiK quería respuestas de Kraken sobre cuánto podría haber terminado con un verdadero estafador si hubiera continuado.

La empresa de ciberseguridad continuó argumentando que una recompensa por errores estaba muy abajo en su lista de prioridades y que todas las transacciones asociadas con sus pruebas habían pasado a ser de dominio público. 

Una guerra de palabras todopoderosa

En X, ha habido bastante desacuerdo sobre quién tiene razón y quién no.

La verdadera pregunta debería ser por qué explotaste una cantidad obscena como parte de tus pruebas en un rol donde la confianza es el elemento más crucial. Toma la L y deja de twittear sin asesoramiento legal.

– Ver $LSS BULL (@crypto_seeb) 19 de junio de 2024

Tres millones de dólares son una miseria en comparación con la magnitud de un posible hackeo de quiebra. Double L de Kraken lo convirtió en un tema público en lugar de simplemente agradecer a Dios que los anons no lo explotaran.

– everhusk (@everhusk) 19 de junio de 2024

El argumento de CertiK se reduce a esto: necesitaba realizar retiros astronómicamente grandes para probar si alguno de ellos terminaría siendo señalado por los sistemas internos de Kraken.

La disputa, que ahora parece haberse resuelto superficialmente, resalta parte de la tensión entre las empresas en el espacio criptográfico y los investigadores de ciberseguridad encargados de mantenerlas bajo control.

¿Es necesario que haya un mayor acuerdo sobre las reglas de enfrentamiento? ¿Hay alguna vez casos en los que se justifiquen exploits a gran escala por parte de hackers de sombrero blanco, ya que podrían evitar que suceda algo más calamitoso en una fecha posterior? 

Si esto le hubiera sucedido a la Red Ronin, ayudando a prevenir uno de los mayores robos de criptomonedas de todos los tiempos que llevó al robo de 625 millones de dólares, probablemente se argumentaría que el robo temporal de unos pocos millones de dólares estaría justificado.

No importa cómo se mire, este incidente es un doloroso recordatorio de que los principales intercambios podrían tener errores que aún no se han descubierto, lo que representa un riesgo para los inversores cotidianos que utilizan estas plataformas comerciales para almacenar sus fondos.

También te puede interesar: ¿Puede la industria cripto confiar en Trump?