Después de la pérdida reportada de $3 millones de dólares de la tesorería del intercambio Kraken, el auditor de contratos inteligentes CertiK reveló una asociación con el incidente.
La plataforma comercial intentó recuperar inmediatamente los fondos, pero recurrió a las autoridades, alegando un caso de extorsión.
CertiK comparte su perspectiva sobre la pérdida de Kraken
El reciente ataque de error de 3 millones de dólares en el intercambio Kraken se ha relacionado con la firma de auditoría de contratos inteligentes CertiK, que confirmó la asociación. Descubrieron una serie de vulnerabilidades críticas que podrían provocar pérdidas de cientos de millones de dólares.
Después del descubrimiento, los investigadores tomaron la iniciativa de explorar la vulnerabilidad y formularon tres preguntas para sustentar su investigación.
- ¿Puede un atacante falsificar una transacción de depósito en una cuenta Kraken?
- ¿Puede un actor malintencionado retirar fondos falsificados?
- ¿Qué controles de riesgo y protección de activos podrían activarse ante una solicitud de retiro de gran tamaño?
Leer más: Kraken Review 2024: seguridad y características
Según CertiK, la plataforma comercial no pasó todas las pruebas, lo que llevó a la conclusión de que "el sistema de defensa en profundidad de Kraken está comprometido en múltiples frentes".
“Según el resultado de nuestras pruebas: el intercambio Kraken falló en todas estas pruebas, lo que indica que el profundo sistema de defensa de Kraken está comprometido en múltiples frentes. Se pueden depositar millones de dólares en CUALQUIER cuenta de Kraken. Se fabrican una gran cantidad de criptomonedas (con un valor superior). $1 millón) se pueden retirar de la cuenta y convertir en criptomonedas válidas. Peor aún, no se activaron alertas durante el período de prueba de varios días. Kraken solo respondió y bloqueó las cuentas de prueba después de informar oficialmente el incidente”, se lee en el informe resaltado en una publicación. .
CertiK envió estos hallazgos a Kraken Exchange , cuyo equipo de seguridad los calificó como "críticos", el nivel de calificación más serio en la plataforma comercial. Desafortunadamente, todo culminó en un caso que requirió la participación de las autoridades.
“El equipo de operaciones de seguridad de Kraken amenazó a los empleados individuales de CertiK con reembolsar una cantidad no coincidente de criptomonedas en un tiempo irrazonable, incluso sin proporcionar direcciones de reembolso. El consenso verbal alcanzado durante nuestra reunión no fue confirmado posteriormente, nos acusaron públicamente de robo e incluso directamente. amenazó a nuestros empleados, lo cual es completamente inaceptable”, dijo CertiK a BeInCrypto.
CertiK instó a Kraken a detener las amenazas contra su identidad, a la que llamó el "hacker Whitehat". El auditor de contratos inteligentes compartió todas las transacciones de depósito de prueba. Agregaron que transfirieron todos los fondos a una cuenta accesible con Kraken.
El auditor es juzgado por un ataque de error de 3 millones de dólares
A pesar de los esfuerzos de CertiK por arrojar luz sobre el tema, la comunidad criptográfica criticó a los investigadores y los demandó por negligencia . Un usuario señala que "el sentimiento en torno a esta historia habría sido más positivo si se hubiera resuelto amigablemente con Kraken y se hubiera publicado más tarde".
El resumen del evento del desarrollador Uttam Singh ridiculizó varios aspectos que inclinan aún más el caso contra CertiK. Destaca el hecho de que los investigadores realizaron múltiples transacciones y esperaron cinco días antes de revelarlo.
Según el CTO de Cyvers, Meir Dolev, una dirección asociada con Certik creó un contrato en la red Coinbase Layer-2 Base el 24 de mayo. Esto arroja dudas sobre la afirmación de Certik de que la vulnerabilidad fue descubierta el 5 de junio. Según se informa, la dirección también está probando OKX y Coinbase para ver si existe la misma vulnerabilidad que Kraken.
Leer más: Los 5 principales fallos de seguridad criptográfica y cómo evitarlos
Según la reacción de la comunidad, el sentimiento general es que la acción no fue una investigación de seguridad de Whitehat, y la participación de las redes sociales citó evidencia en cadena. Sin embargo, esto no descarriló la ronda de financiación Serie B3 de CertiK, que recaudó la friolera de 88 millones de dólares.
Los líderes en la ronda de financiación incluyen Insight Partners, Tiger Global y Advent International. También participaron Goldman Sachs , Sequoia y Lightspeed Venture Partners. Es de destacar que marcó la cuarta ronda de recaudación de capital de CertiK en nueve meses, por un total de 230 millones de dólares.
El post Investigadores de CertiK vinculados a un ataque Kraken de 3 millones de dólares apareció por primera vez en BeInCrypto .