Conclusiones clave:
Kraken, el principal intercambio de criptomonedas, ha revelado que los «investigadores de seguridad» que encontraron una vulnerabilidad en su plataforma se niegan a devolver activos digitales por valor de 3 millones de dólares tomados de su tesorería.
En una serie de publicaciones de X, Nick Percoco, director de seguridad de Kraken, explicó cómo se desarrolló el evento.
Los piratas informáticos de sombrero blanco se llevan $ 3 millones del tesoro de Kraken después de informar un error
El 9 de junio, el intercambio de cifrado recibió un aviso anónimo de un investigador de seguridad de blockchain sobre un error en su sistema que permitiría a los usuarios inflar su saldo artificialmente. Esta falla «en las circunstancias adecuadas» permite a un atacante malicioso iniciar un depósito en el intercambio y recibir fondos en su cuenta sin completar la transacción por completo.
Tan pronto como se informó del error, el equipo de seguridad de Kraken descubrió y solucionó el problema. Perococo señaló que ningún fondo de los usuarios se vio afectado. Sin embargo, fue lo que vino después lo que dejó atónito al equipo del intercambio.
Aparentemente, después de descubrir el error, el investigador de seguridad compartió la información con dos asociados. Resulta que en lugar de presentar un informe de recompensa por errores ante Kraken en primera instancia, el investigador utilizó la falla para acreditar su cuenta Kraken en criptomonedas y luego trabajó con sus colegas para retirar aproximadamente $3 millones en criptomonedas de la tesorería del intercambio.
El informe de error inicial presentado no mencionaba las transacciones realizadas por las otras dos personas, pero cuando Kraken les pidió más detalles y que les devolvieran los fondos, se negaron.
Perococo dijo que los investigadores de seguridad exigieron que Kraken les diera una suma especulada por los posibles daños que el error podría haber causado si no lo hubieran descubierto.
Kraken se niega a pagar una recompensa a los investigadores de seguridad por violar las reglas
El jefe de seguridad de Kraken condenó estas acciones como poco éticas y criminales, afirmando que la “licencia para hackear” una empresa de un investigador de seguridad se habilita siguiendo las reglas del programa de recompensas por errores en el que participa.
“Ignorar esas reglas y extorsionar a la empresa lo convierte a usted y a su empresa en criminales”, escribió Perococo.
Muchas empresas de cifrado utilizan programas de recompensas por errores para probar la solidez de sus sistemas de seguridad y al mismo tiempo incentivar a quienes actúan de buena fe. Invitan a piratas informáticos externos llamados «sombrero blanco» a encontrar vulnerabilidades para poder solucionarlas antes de que un actor malicioso las explote.
Para que Kraken le pague una recompensa, el sombrero blanco debe descubrir primero el problema, explotar la cantidad mínima necesaria para probar el error, devolver los activos y proporcionar un informe completo sobre la vulnerabilidad.
Kraken dijo en una publicación de blog que se negó a pagar su recompensa a los investigadores porque no siguieron las reglas.
Se cree que la empresa de seguridad Blockchain Certik está detrás del exploit
Aunque el nombre del sombrero blanco no fue revelado, se cree ampliamente que es la empresa de tecnología de seguridad blockchain Certik.
Certik había publicado anteriormente en sus canales de redes sociales que encontró varias vulnerabilidades en Kraken mientras realizaba «pruebas de varios días». Advirtieron que el error podría explotarse para crear criptomonedas por valor de millones de dólares.
El investigador de seguridad en cadena escribió que se pueden depositar millones en la cuenta de cualquier usuario de Kraken y que se puede retirar de esa cuenta una gran cantidad de «criptomonedas fabricadas» por valor de más de un millón de dólares y convertirlas en «criptomonedas válidas». Certik expresó serias preocupaciones de que la falla no generó ninguna alerta en los sistemas de Kraken durante el período de prueba.
Sin embargo, Certik informó que las cosas se pusieron feas luego de las conversaciones iniciales con Kraken. Dijeron en una publicación de X que el equipo de operaciones de seguridad de Kraken amenazó a sus empleados con reembolsar una cantidad no coincidente de criptomonedas «en un tiempo irrazonable» sin siquiera proporcionar una dirección de pago.
Kraken ahora está tratando el incidente como un delito y está trabajando con las autoridades policiales para recuperar los fondos perdidos. “Estamos decepcionados por esta experiencia”, afirmó a los medios un portavoz de la empresa.
Mas noticias: Bitcoin cae por debajo de $ 65,000 a medida que el mercado criptográfico colapsa