De Sombrero Blanco a una Zona Gris

La firma de seguridad cripto CertiK ha estado agitando un avispero últimamente.

CertiK enfrentó críticas cuando explotó una vulnerabilidad en Kraken, desviando $3 millones de la plataforma en nombre de la "investigación."

La firma devolvió los fondos después de recibir críticas, pero el daño ya estaba hecho.

Desde la historia inicial de Rekt News, la investigadora de seguridad Tayvano ha descubierto una red de actividades sospechosas en torno al incidente.

El polvo ni siquiera se ha asentado alrededor de la controversia sobre el reciente exploit de Kraken y ya están circulando nuevas acusaciones.

Desde acusaciones de adelantarse a las recompensas por errores hasta realizar auditorías superficiales, la reputación de CertiK está siendo puesta bajo el microscopio por investigadores de seguridad.

Con cada nueva acusación, la industria se ve obligada a confrontar una verdad incómoda.

¿Qué sucede cuando las mismas entidades encargadas de salvaguardar el ecosistema son vistas como una amenaza?

En el mundo de alto riesgo de la seguridad blockchain, la confianza lo es todo. Pero ¿qué sucede cuando los propios guardianes están bajo escrutinio?

CertiK, a pesar de su gran posición en el panorama de seguridad cripto, ha sido visto con escepticismo por investigadores de seguridad.

El reciente incidente de Kraken no fue solo un paso en falso aislado, fue el fósforo que encendió un barril de pólvora de preocupaciones y críticas que llevaban mucho tiempo gestándose.

A medida que el polvo se asienta, han surgido una serie de acusaciones alarmantes, pintando una imagen preocupante de las prácticas y ética de CertiK.

Adelantándose a las Recompensas por Errores: Una Violación de la Confianza

En el centro de la tormenta que rodea a CertiK está OpenBounty, una plataforma de recompensas por errores incubada por Shentu Chain, anteriormente conocida como CertiK Chain.

CertiK originalmente fundó CertiK Chain, que se renombró como Shentu Chain en 2021.

Aunque CertiK y la Fundación Shentu ahora están ostensiblemente separadas, su historia compartida y conexiones continuas plantean preguntas sobre posibles conflictos de interés.

Lo que inicialmente parecía ser un simple agregador de recompensas por errores se ha convertido en el punto focal de serias acusaciones de mala conducta ética.

El investigador de seguridad h0wlu fue el primero en dar la alarma, descubriendo prácticas preocupantes dentro de las operaciones de OpenBounty.

"Creé una cuenta de prueba en su plataforma para investigarla, pensando que tal vez solo era un agregador, pero no. Tienen formularios de envío para todos estos programas y los hallazgos se envían a sus servidores API", informó h0wlu.

Este descubrimiento levantó inmediatamente banderas rojas. OpenBounty no se limitaba a compilar información sobre recompensas por errores de varias fuentes, sino que estaba solicitando activamente informes de vulnerabilidades para programas alojados en otras plataformas, incluido ImmuneFi, e incluso para programas auto-hospedados como Uniswap y Ethereum.

Uniswap, por ejemplo, establece claramente en las reglas de su programa de recompensas por errores, que debes reportar errores directamente a ellos, no a través de terceros.

Las implicaciones de esta práctica son graves. Al canalizar los informes de vulnerabilidades a través de sus propios servidores antes de llegar a los protocolos afectados, CertiK potencialmente obtiene conocimiento avanzado de fallas de seguridad críticas.

Esta asimetría de información podría teóricamente ser explotada para obtener ganancias financieras o para presionar a los proyectos para que utilicen los servicios de CertiK.

Añadiendo a la sospecha, h0wlu señaló que la API utilizada por OpenBounty está alojada en un subdominio que contiene "CertiK", cementando aún más la conexión entre las dos entidades.

PopPunk, cofundador de Gaslite y un crítico vocal de CertiK, amplió estos hallazgos, "OpenBounty... parece estar intentando adelantarse a los reportes de recompensas por errores. Lo más sospechoso es que su sitio web hace solicitudes a un dominio con el nombre de CertiK cuando reportas una recompensa.”

Esta práctica no solo es éticamente cuestionable, sino que potencialmente viola los términos de servicio de los programas de recompensas por errores de muchos protocolos importantes.

La controversia se profundizó cuando, después de estas revelaciones, CertiK pareció intentar encubrir la situación.

"CertiK ahora está borrando publicaciones de blog sobre OpenBounty y cambió su API a un dominio que no es CertiK", afirmó PopPunkOnChain.

Estas acusaciones, si se prueban que son ciertas, golpean el núcleo mismo de la credibilidad de CertiK como firma de seguridad.

La posibilidad de que un auditor de confianza pueda aprovechar su posición para obtener ganancias financieras o para obtener una ventaja competitiva injusta, plantea serias preocupaciones sobre la integridad y seguridad de los proyectos blockchain individuales y, por extensión, del ecosistema en su conjunto.

Auditorías de Baja Calidad: ¿Un Patrón de Negligencia?

Las acusaciones contra CertiK se extienden más allá de la controversia de OpenBounty.

Antiguos clientes e investigadores de seguridad han salido a la luz con acusaciones de prácticas de auditoría deficientes, pintando una imagen de una firma que prioriza la cantidad sobre la calidad.

Matías Barrios, un ingeniero de seguridad ofensiva en Halborn, alega que la firma a menudo hace "lo mínimo necesario" cuando audita protocolos.

"En lugar de realizar tres capas de auditorías, que incluyen analizadores estáticos, revisión manual y luego pruebas, solo hicieron la primera", dijo Barrios a The Defiant.

Afirma que este es el modus operandi de CertiK: "Revisan el código a través de algunas herramientas automáticas, ofrecen un informe muy simple y lo dejan así."

El hackeo de abril de 2023 de Merlin, un DEX basado en Zksync, donde se drenaron $1.8 millones después de una auditoría de CertiK, se presenta como un ejemplo contundente de las posibles consecuencias de revisiones de seguridad inadecuadas.

El exploit que resultó en el hackeo de $1.8 millones en Merlin involucraba directamente el mismo problema que CertiK había marcado como resuelto después de su auditoría, planteando serias preocupaciones sobre la minuciosidad de sus revisiones de seguridad.

Los críticos argumentan que el dominio de CertiK en el mercado se debe menos a la calidad y más al reconocimiento de marca.

"Son tan ampliamente utilizados porque muchas compañías simplemente necesitan el 'sello de aprobación de CertiK'", explicó Barrios.

Esta dependencia de la reputación de CertiK, en lugar de la sustancia de sus auditorías, plantea serias preguntas sobre el estado de las prácticas de seguridad en la industria cripto.

La controversia de CertiK sirve como un claro recordatorio de que en el mundo de blockchain, incluso los vigilantes necesitan ser vigilados.

A medida que avanzamos, una pregunta se cierne en el aire, ¿quién audita a los auditores?

“Fuiste puesto aquí para protegernos. Pero, ¿quién nos protege de ti?” - KRS-One

Las acusaciones contra CertiK pintan una imagen preocupante de una firma que puede haberse desviado mucho de su misión de salvaguardar el ecosistema blockchain.

Si se prueban ciertas, estas prácticas representan no solo violaciones éticas, sino una traición fundamental a la confianza depositada en los auditores de seguridad.

CertiK tampoco parece ser rápido en abordar muchas de estas acusaciones.

¿Acaso les importa o solo les importa recibir su pago al final del día?

El potencial de que un auditor de confianza explote su posición para obtener ganancias financieras o ventajas competitivas representa una amenaza significativa para todo el ecosistema blockchain.

¿Cómo logró una firma tener un control tan fuerte sobre las auditorías de protocolos?

Son una marca reconocida en el espacio, pero muchas marcas reconocidas han caído en desgracia cuando se rompió la confianza.

Tal vez más personas verán “Auditado por CertiK” como una etiqueta de advertencia en el futuro.

Quizás es hora de clasificar a los propios auditores usando una escala de severidad.

¿Dónde se ubicaría CertiK en esta escala?

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.