TLDR

  • Kraken descubrió un error que permitía a los usuarios inflar artificialmente sus saldos y retirar fondos sin completar los depósitos.

  • CertiK, una empresa de seguridad blockchain, se identificó como el "investigador de seguridad" que aprovechó el error y retiró casi 3 millones de dólares de las tesorerías de Kraken.

  • Kraken afirma que CertiK se negó a devolver los fondos hasta que el intercambio proporcionara una estimación de las pérdidas potenciales, calificándolo de "extorsión".

  • CertiK defendió sus acciones, afirmando que estaba probando el alcance de la vulnerabilidad y que Kraken había amenazado a sus empleados con devolver una cantidad de fondos no coincidente en un plazo irrazonable.

  • El incidente ha provocado un debate sobre la ética del hackeo de sombrero blanco y los programas de recompensas por errores en la industria de las criptomonedas.

El exchange de criptomonedas Kraken reveló recientemente que había sido víctima de una vulnerabilidad de seguridad que permitía a los usuarios inflar artificialmente los saldos de sus cuentas y retirar fondos sin completar los depósitos. El intercambio informó que se robaron casi $ 3 millones de sus tesorerías como resultado del exploit.

La empresa de seguridad blockchain CertiK se presentó y se identificó como el "investigador de seguridad" responsable de explotar el error y retirar los fondos.

El director de seguridad de Kraken, Nick Percoco, había acusado anteriormente al entonces anónimo equipo de seguridad de "extorsión" por negarse a devolver los fondos hasta que el intercambio proporcionara una estimación de las pérdidas potenciales si el error no se hubiera revelado.

Actualización de seguridad de Kraken:

El 9 de junio de 2024, recibimos una alerta del programa Bug Bounty de un investigador de seguridad. Inicialmente no se revelaron detalles, pero su correo electrónico afirmaba haber encontrado un error "extremadamente crítico" que les permitió inflar artificialmente su saldo en nuestra plataforma.

– Nick Percoco (@c7five) 19 de junio de 2024

CertiK, sin embargo, defendió sus acciones, alegando que había estado probando el alcance de la vulnerabilidad y que Kraken había amenazado a sus empleados con devolver una cantidad de fondos no coincidente en un plazo irrazonable, sin siquiera proporcionar una dirección de pago.

CertiK identificó recientemente una serie de vulnerabilidades críticas en el intercambio @krakenfx que podrían generar pérdidas de cientos de millones de dólares.

A partir de un hallazgo en el sistema de depósito de @krakenfx donde puede no diferenciar entre diferentes internos… pic.twitter.com/JZkMXj2ZCD

– CertiK (@CertiK) 19 de junio de 2024

La empresa de seguridad proporcionó una cronología de los eventos, detallando sus interacciones con Kraken y el descubrimiento del exploit.

Según CertiK, la vulnerabilidad permitió depositar millones de dólares en cualquier cuenta de Kraken, con la capacidad de retirar y convertir las criptomonedas fabricadas en criptomonedas válidas.

La empresa también afirmó que no se activaron alertas durante su período de prueba de varios días, y Kraken solo respondió y bloqueó las cuentas de prueba días después de la divulgación inicial.

El incidente ha provocado un debate sobre la ética del pirateo de sombrero blanco y la eficacia de los programas de recompensas por errores.

Mientras que algunos argumentan que las acciones de CertiK estaban justificadas con el fin de probar exhaustivamente la vulnerabilidad, otros creen que la empresa cruzó la línea al retirar una suma tan grande de dinero y negarse a devolverla con prontitud.

Kraken sostiene que las acciones de CertiK no se alinean con los principios del pirateo de sombrero blanco y que está trabajando con las fuerzas del orden para recuperar los activos. El intercambio también enfatizó que ningún fondo de los usuarios se vio afectado por el exploit, ya que el dinero robado provenía de las propias tesorerías de Kraken.

La publicación Bug Bounty salió mal: Kraken acusa a CertiK de extorsión, CertiK defiende sus acciones apareció por primera vez en Blockonomi.