Certik/Kraken - Rekt
Kraken acusa a investigadores de seguridad de extorsión después de un exploit de recompensa por bugs de $3M.
La divulgación de una vulnerabilidad crítica en los sistemas de Kraken por parte de una firma de ciberseguridad ha escalado a acusaciones de extorsión y amenazas entre las partes.
El Director de Seguridad Nick Percoco reveló que Kraken recibió una alerta del programa de recompensas por bugs de un investigador de seguridad a principios de junio.
La firma de investigación de seguridad Certik reveló que descubrieron el bug.
Sin embargo, en lugar de cooperar para abordar el problema, Kraken supuestamente respondió amenazando a los empleados de CertiK y haciendo demandas irrazonables, según afirmó CertiK.
Las afirmaciones contradictorias se han convertido en una disputa pública de "él dijo, ella dijo", con cada parte acusando a la otra de comportamiento cuestionable.
En esta extraña e inquietante situación, ¿podemos realmente confiar en los guardianes de nuestras fortalezas digitales?
Créditos: Nick Percoco, Certik, Tayvano, Immutable Lawyer
Aunque inicialmente vago, el informe afirmaba haber encontrado un bug "extremadamente crítico" que permitía inflar los saldos de las cuentas en el exchange de criptomonedas.
Nick Percoco declaró que el equipo de seguridad de Kraken investigó rápidamente el asunto y descubrió un bug aislado que permitía a un atacante malicioso, bajo las circunstancias adecuadas, iniciar un depósito en la plataforma y recibir fondos en su cuenta sin completar totalmente el depósito.
En una hora y 47 minutos, Kraken había desplegado una solución para resolver el problema.
CertiK alega que su investigación descubrió vulnerabilidades aún más alarmantes en los sistemas de Kraken más allá del informe inicial del bug.
Según CertiK, sus pruebas confirmaron la capacidad de fabricar depósitos en cualquier cuenta de Kraken, retirar grandes sumas de criptomonedas fabricadas que excedían $1 millón de dólares, todo sin activar ninguna alerta durante varios días.
CertiK afirma que después de informar responsablemente estos hallazgos críticos, que Kraken clasificó como de máxima gravedad, el exchange amenazó a los empleados de CertiK con demandas para devolver una "cantidad desajustada" de criptomonedas en un "tiempo irrazonable" sin siquiera proporcionar direcciones de billetera.
La firma de seguridad alega que las amenazas de Kraken llegaron después de que CertiK ya había ayudado a identificar y remediar con éxito las vulnerabilidades.
CertiK afirma que han hecho público esto para proteger a los usuarios e instar a Kraken a cesar las amenazas contra investigadores de seguridad éticos que actúan de buena fe.
Esto contradice la descripción de Kraken del incidente inicial de $3 millones como una clara extorsión por parte de actores maliciosos.
CertiK asegura que siguieron prácticas responsables de divulgación de vulnerabilidades en coordinación con Kraken inicialmente.
Un análisis más detallado reveló que el bug ya había sido explotado activamente en los días anteriores en tres cuentas asociadas con colegas del investigador original.
Una cuenta controlada por el investigador había depositado solo $4, aparentemente para validar la vulnerabilidad.
Ultimamente, la explotación de una vulnerabilidad en los sistemas de Kraken permitió la retirada de más de $3 millones de dólares de las billeteras corporativas de Kraken durante un período de cinco días abusando del mismo fallo.
CertiK afirma que las transacciones eran meramente transacciones de depósito de prueba, con millones siendo retirados del sistema con fines de prueba.
Certik afirmó que se mintearon millones de dólares de criptomonedas de la nada, y que ningún activo de usuario real de Kraken estuvo directamente involucrado en nuestras actividades de investigación.
Notablemente, subrayan que a pesar de que se generaron numerosos tokens fabricados y se intercambiaron por criptomonedas válidas durante varios días, no se implementaron medidas de control o prevención de riesgos hasta que CertiK sacó el tema a la luz.
Cuando Kraken solicitó que se devolvieran los fondos obtenidos ilegalmente según su política de recompensas por bugs, los investigadores se negaron y en su lugar exigieron un pago de rescate especulativo basado en pérdidas máximas hipotéticas.
Este exploit de $3 millones formó la base de la acusación de Kraken de extorsión por actores malintencionados.
Sin embargo, CertiK alega que esta demanda fue en respuesta a las propias amenazas de Kraken después de que CertiK informara vulnerabilidades aún más graves.
Cabe señalar que, según la página de recompensas por bugs de Kraken, el pago máximo por una gravedad crítica está limitado a $1.5 millones.
Curiosamente, 3 transacciones realizadas por la misma dirección que llevaba a cabo estas "pruebas" hicieron 3 depósitos en Tornado Cash hace casi 2 semanas.
Si resulta que CertiK estaba enrutando fondos a través de Tornado Cash, un mezclador de monedas virtuales sancionado, las implicaciones legales podrían ser enormes.
El tiempo dirá quién estaba equivocado aquí, claramente alguien cometió un gran error.
¿Estamos aventurándonos en un reino donde las líneas entre el comportamiento ético y la explotación se difuminan, similar a cruzar al enigmático reino de la Dimensión Desconocida?
Con ambas partes intercambiando acusaciones de extorsión y amenazas, el asunto se ha convertido en un acalorado conflicto de "él dijo, ella dijo".
Kraken insiste en que tomó medidas razonables para protegerse después de que se cruzaron los límites éticos.
CertiK mantiene que siguieron las mejores prácticas de la industria para la divulgación de vulnerabilidades y la coordinación responsable.
Atrapados en el fuego cruzado de esta disputa pública están los usuarios y la comunidad cripto en general.
Mientras se señalan con el dedo en ambas direcciones, tal vez se establezca la verdad sobre lo que realmente ocurrió.
¿De quién será la narrativa creíble?
¿Qué pasaría si hubiera otra versión de la historia que aún no se ha descubierto, como un actor deshonesto?
Dado que el resultado puede afectar significativamente la seguridad de la plataforma y la seguridad de los usuarios en el mundo cripto, surge la pregunta de si la ética y la colaboración triunfarán sobre las acusaciones de mala conducta.
Ante este acontecimiento significativo, es importante considerar el posible impacto en los investigadores de seguridad, quienes podrían ser más cautelosos al compartir sus descubrimientos, temiendo verse involucrados en disputas similares.
Addicionalmente, ¿podemos descartar completamente la posibilidad de que un actor deshonesto dentro de CertiK haya jugado un papel en la supuesta explotación, complicando aún más la narrativa y planteando preguntas sobre la confianza y la responsabilidad en la comunidad de investigación de seguridad?
REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.
dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
aviso legal:
REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.
te podría gustar...
De Sombrero Blanco a una Zona Gris
La firma de seguridad cripto CertiK ha estado agitando un avispero últimamente. El polvo ni siquiera se ha asentado alrededor de la controversia sobre el reciente exploit de Kraken y ya están circulando nuevas acusaciones. Desde acusaciones de adelantarse a las recompensas por errores hasta realizar auditorías superficiales, la reputación de CertiK está siendo puesta bajo el microscopio por investigadores de seguridad.
Tapioca DAO - Rekt
Otro día, otro robo de clave privada, otro protocolo rekt. Tapioca DAO en Arbitrum sufre una pérdida de aproximadamente $4.4 millones debido al compromiso de una clave privada. Se han recuperado algunos fondos, aunque el alcance total del daño aún está por verse.
Radiant Capital - Rekt II
Radiant Capital sufre un recorte de $53 millones. ¿Pensabas que los multi-sigs eran seguros? Piénsalo otra vez. La "robusta" configuración 3/11 de Radiant se desplomó como un castillo de naipes. Exploited dos veces en 2024, el futuro de Radiant parece tan brillante como un agujero negro.