Table of Contents
- CertiK expuso una vulnerabilidad y extrajo 3 millones de dólares antes de informarlo a Kraken.
- Kraken solucionó el error rápidamente después de la alerta de CertiK.
- CertiK ha devuelto los fondos después de algunas disputas procesales.
Kraken ha recuperado con éxito casi la totalidad de los 3 millones de dólares confiscados durante un controvertido hackeo de «sombrero blanco» orquestado por la empresa de seguridad blockchain CertiK. El director de seguridad de Kraken, Nick Percoco, confirmado la devolución de los fondos, con sólo una pequeña pérdida debido a las tarifas de transacción.
El hackeo de Whitehat destacó cuestiones críticas en las prácticas de piratería ética y los protocolos que rodean la divulgación de vulnerabilidades.
¿Cómo se desarrolló el hackeo de Kraken Whitehack?
De acuerdo con la Cronología de eventos detallada por CertiK.la saga comenzó cuando CertiK identificó una vulnerabilidad grave en el sistema de Kraken que permitía a personas técnicamente expertas inflar artificialmente los saldos de sus cuentas.
Explotando esta falla, CertiK retiró $3 millones de dólares del Tesoro de Kraken como prueba de la gravedad de la vulnerabilidad. Aunque CertiK informó del problema en junio, actuó sólo después de obtener los fondos, una medida que generó importantes críticas por parte de Kraken y de la comunidad criptográfica en general.
Kraken abordó rápidamente la vulnerabilidad pocas horas después de haber sido informado, asegurando que ningún activo del cliente se viera comprometido. Percoco enfatizó que el El agujero de seguridad fue reparado rápidamentehaciendo imposible la recurrencia.
A pesar de la solución rápida, la forma en que CertiK llevó a cabo su operación (en particular su retraso en la devolución de los fondos) planteó serias dudas sobre su cumplimiento de los protocolos estándar de recompensas de los sombreros blancos.
El truco poco ortodoxo de «sombrero blanco» de CertiK generó críticas
El descontento de Kraken se debió a que CertiK no siguió los procedimientos establecidos para las actividades de sombrero blanco.
Por lo general, los hackers de sombrero blanco informan sobre vulnerabilidades sin extraer fondos excesivos y devuelven las cantidades tomadas inmediatamente.
CertiK, sin embargo, retuvo los 3 millones de dólares hasta que Kraken proporcionó una estimación del riesgo potencial, una acción que Kraken percibió como innecesaria y poco cooperativa.
CertiK defendió su enfoque afirmando que la amplia retirada fue crucial para probar exhaustivamente las medidas de seguridad y los sistemas de alerta de Kraken, que, según CertiK, no lograron activar las alarmas incluso después de pérdidas sustanciales.
Además, CertiK sostuvo que siempre tenía la intención de devolver los fondos y acusó al equipo de seguridad de Kraken de presionar a sus empleados con demandas de pago poco realistas y cantidades no coincidentes de criptomonedas.
Al final, los fondos fueron devueltos, aunque en una cantidad de criptomonedas diferente a la que Kraken había especificado.
Dado que Kraken no ha proporcionado direcciones de pago y el monto solicitado no coincide, estamos transfiriendo los fondos según nuestros registros a una cuenta a la que Kraken podrá acceder.
— CertiK (@CertiK) 19 de junio de 2024
CertiK sostuvo que nunca buscó una recompensa por sus acciones y se centró únicamente en garantizar que se resolviera la vulnerabilidad.
