Kraken recupera fondos luego de la saga con CertiK, investigadores cuentan su versión

Termina la saga del hackeo de sombrero blanco que extrajo USD $3 millones en criptomonedas a Kraken. CertiK, que fue el responsable de la hazaña, rechazó las acusaciones de extorsión y contó su versión de los hechos. 

***

Kraken recuperó los casi USD $3 millones en criptomonedas perdidos en un hackeo de sombrero blanco
Los investigadores de CertiK se identificaron como los responsables y contaron su versión de los hechos
Rechazaron las acusaciones de extorsión y dijeron que el intercambio “amenazó” a un empleado
La saga concluyó luego de que los fondos se desviaran hacia una dirección cuestionable 

 

El intercambio de criptomonedas Kraken ha recuperado oficialmente cerca de USD $3 millones en criptomonedas que fueron extraídos a la plataforma en una controvertida hazaña de piratería de “sombrero blanco“.

En un comunicado de ayer, la compañía había informado a sus clientes sobre la resolución de una vulnerabilidad en sus sistemas. La solución se implementó después de que investigadores de seguridad externos alertaran a Kraken sobre la falla. A pesar de la advertencia, el intercambio no se mostró contento y se negó a realizar una recompensa.

En un extenso hilo de mensajes, Nick Percoco, director de seguridad de Kraken, acusó a los hackers éticos de “extorsionar” a la compañía y aseguró que se rehusaban a devolver USD $3 millones que fueron retirados aprovechando la falla del sistema.

Kraken se dice víctima de extorsión

Percoco relató la historia con gran detalle, indicando que los investigadores no habían actuado siguiendo los protocolos esperados para este tipo de casos, al tiempo que cuestionó las intenciones y manifestó su rechazo ante las acciones tomadas por el grupo; aunque en ningún momento reveló quién o quienes eran los involucrados.

En particular, el inconveniente de seguridad revelado habría permitido a los usuarios aumentar artificialmente el valor de saldo de sus cuentas en Kraken sin completar un depósito. La empresa aseguró que si bien esta falla fue explotada por el grupo de investigadores externos, ningún fondo de cliente se había visto comprometido y que todo estaba resuelto.

El directivo de Kraken señaló que el intercambio estaba tratando la pérdida millonaria como un “caso criminal” en una de sus publicaciones, coordinando esfuerzos con la policía para recuperar fondos. Pero la historia no terminó ahí.

CertiK se defiende de las acusaciones 

Poco después de conocerse la información, el equipo de la firma de seguridad Blockchain, Certik, se identificó como la responsable detrás de la explotación. Los investigadores se defendieron de los señalamientos, alegando que Kraken había “amenazado a los empleados de la empresa. Además afirmaron que el valor total de los fondos exigidos por el intercambio “no coincidía“. 

CertiK también argumentó que se le había dado muy poco tiempo para devolver los fondos supuestamente robados.

Tras las primeras conversiones exitosas para identificar y solucionar la vulnerabilidad, el equipo de operaciones de seguridad de Kraken ha AMENAZADO a empleados individuales de CertiK con reembolsar una cantidad INCOMPARABLE de criptomonedas en un tiempo IRRAZONABLE incluso SIN proporcionar direcciones de pago”, escribió CertiK.

La empresa de seguridad publicó una cronología de los hechos, comenzando con la identificación de la vulnerabilidad el 5 de junio y terminando con la supuesta amenaza a un empleado el 18 de junio. El equipo además se comprometió a transferir los fondos “a una cuenta a la que Kraken podrá acceder“, rechazando las acusaciones de que se rehusaba a devolver las monedas.

Asimismo, los expertos de seguridad, que antes han identificado errores en otras plataformas, atendieron los señalamientos sobre su falta de profesionalismo y las múltiples transacciones de sumas elevadas que realizaron para probar la vulnerabilidad.

La verdadera pregunta debería ser por qué el profundo sistema de defensa de Kraken no pudo detectar tantas transacciones de prueba, afirmó CertiK en respuesta a un señalamiento y justificando que la suma millonaria era necesaria para probar los límites del intercambio. “Esto es de hecho lo que estábamos probando“.

Las criptomonedas regresan a su origen 

En medio de la disputa, la saga dio un giro inesperado durante la tarde del jueves, cuando se informó que supuestamente CertiK había enviado parte de las criptomonedas extraídos al intercambio descentralizado Tornado Cash, aparentemente en un esfuerzo para resguardar los activos. El movimiento causó polémica, especialmente debido a las sanciones contra esa herramienta.

La firma de seguridad alegó entretanto en su cuenta de X que había retornado los fondos a Kraken, detallando específicamente las cantidades enviadas para cada token. Sin embargo, esa compañía negó inicialmente haber recibido las monedas.

La saga parece haber quedado finalmente atrás ahora que Percoco confirmó este jueves en su cuenta de X que Kraken recibió efectivamente las criptomonedas. Actualización: Ahora podemos confirmar que se han devuelto los fondos (menos una pequeña cantidad perdida por comisiones), escribió, sin especificar la suma.

Update: We can now confirm the funds have been returned (minus a small amount lost to fees). https://t.co/cHkjPt3m2A

— Nick Percoco (@c7five) June 20, 2024

No dijo si se le otorgó una recompensa a CertiK por su hazaña.

Vale señalar que se conocen como hackers de “sombrero blanco” a expertos de seguridad que incurren en prácticas de explotación o manipulación técnica a sistemas con el objetivo de identificar vulnerabilidades. Las empresas de criptomonedas con frecuencia tienen programas de “Bug Bounty” para recompensar a estos técnicos por sus contribuciones.

Artículo de Hannah Estefanía Pérez / DiarioBitcoin

Imagen de Unsplash 

DiarioBitcoin