Mercados
Kraken recupera todos los fondos tomados durante el reciente ataque «whitehat».
- CertiK reveló una vulnerabilidad y extorsionó 3 millones de dólares antes de informarla a Kraken.
- Kraken solucionó rápidamente el error después del aviso de CertiK.
- CertiK devolvió los fondos después de algunas disputas procesales.
Kraken ha recuperado con éxito casi la totalidad de los 3 millones de dólares sustraídos durante un controvertido hackeo de «sombrero blanco» orquestado por la empresa de seguridad blockchain CertiK. Nick Percoco, oficial de seguridad de Kraken confirmado la devolución de los fondos, con sólo una pequeña pérdida debido a las tarifas de transacción.
El hackeo de Whitehat destacó cuestiones críticas en las prácticas y protocolos de piratería ética relacionados con la divulgación de vulnerabilidades.
¿Cómo ocurrió el Kraken Whitehack?
De acuerdo a Cronología de eventos detallada por CertiK.La saga comenzó cuando CertiK identificó una vulnerabilidad grave en el sistema Kraken que permitía a personas con conocimientos técnicos inflar artificialmente los saldos de sus cuentas.
Explotando esta falla, CertiK retiró $3 millones del Tesoro de Kraken como prueba de la gravedad de la vulnerabilidad. Aunque CertiK informó del problema en junio, solo tomó medidas después de obtener los fondos, una medida que generó importantes críticas por parte de Kraken y de la comunidad criptográfica en general.
Kraken resolvió rápidamente la vulnerabilidad a las pocas horas de ser informado, asegurando que ningún activo del cliente se viera comprometido. Percoco enfatizó que el fallo de seguridad fue reparado rápidamentehaciendo imposible la recurrencia.
A pesar de la solución rápida, la forma en que CertiK llevó a cabo sus operaciones, en particular la demora en la devolución de los fondos, planteó serias dudas sobre su cumplimiento de los protocolos estándar de recompensa de sombrero blanco.
El truco poco ortodoxo de «sombrero blanco» de CertiK ha generado críticas
El descontento de Kraken se debió a que CertiK no siguió los procedimientos establecidos para las actividades de sombrero blanco.
Por lo general, los piratas informáticos de sombrero blanco informan vulnerabilidades sin retirar fondos excesivos y devuelven inmediatamente las cantidades retiradas.
CertiK, sin embargo, retuvo los 3 millones de dólares hasta que Kraken proporcionó una estimación del riesgo potencial, una acción que Kraken percibió como innecesaria y poco cooperativa.
CertiK defendió su enfoque argumentando que la retirada a gran escala era fundamental para probar exhaustivamente las medidas de seguridad y los sistemas de alerta de Kraken, que, según CertiK, no lograron activar las alarmas incluso después de pérdidas sustanciales.
Además, CertiK argumentó que siempre tenía la intención de devolver los fondos y acusó al equipo de seguridad de Kraken de presionar a sus empleados con solicitudes de reembolso poco realistas y cantidades de criptomonedas no coincidentes.
Al final, los fondos fueron devueltos, aunque por una cantidad de criptomoneda diferente a la especificada por Kraken.
Dado que Kraken no proporcionó direcciones de reembolso y el monto solicitado no coincidió, estamos transfiriendo los fondos de acuerdo con nuestros registros a una cuenta a la que Kraken tendrá acceso.
— CertiK (@CertiK) 19 de junio de 2024
CertiK dijo que nunca buscó recompensa por sus acciones y que se centró únicamente en solucionar la vulnerabilidad.
Comparte este artículo