Investigadores de CertiK estarían vinculados al ataque de $3 millones contra Kraken

Tras la pérdida reportada de 3 millones de dólares del tesoro de Kraken, el auditor de contratos inteligentes CertiK ha revelado una asociación con el incidente.

La plataforma de trading intentó recuperar los fondos de inmediato, pero recurrió a las autoridades policiales, citando un caso de extorsión.

CertiK comparte su perspectiva sobre el ataque contra Kraken

El reciente ataque por un error de 3 millones de dólares en el exchange Kraken ha sido vinculado a la firma de auditoría de contratos inteligentes CertiK, que confirmó la asociación. Descubrieron una serie de vulnerabilidades críticas que podrían llevar a pérdidas de cientos de millones de dólares.

Tras el descubrimiento, los investigadores tomaron la iniciativa de explorar la vulnerabilidad, con tres preguntas guiando su investigación.

• ¿Puede un actor malicioso fabricar una transacción de depósito en una cuenta de Kraken?
• ¿Puede un actor malicioso retirar fondos fabricados?
• ¿Qué controles de riesgo y protección de activos podrían activarse ante una solicitud de retiro grande?

Según CertiK, la plataforma de trading falló en todas las pruebas, lo que llevó a concluir que el sistema de “defensa en profundidad” de Kraken está comprometido en múltiples frentes.

“Según nuestros resultados de prueba: El exchange Kraken falló en todas estas pruebas, indicando que el sistema de defensa en profundidad de Kraken está comprometido en múltiples frentes. Se pueden depositar millones de dólares en CUALQUIER cuenta de Kraken. Se puede retirar una gran cantidad de criptomonedas fabricadas (valorado en más de 1 millón de dólares) de la cuenta y convertirlo en criptomonedas válidas. Peor aún, no se activaron alertas durante el período de prueba de varios días. Kraken solo respondió y bloqueó las cuentas de prueba días después de que informamos oficialmente el incidente,” se lee en el informe destacado en un post.

Lea más: Reseña de Kraken 2024: análisis y opiniones de este exchange

CertiK presentó estos hallazgos a Kraken, cuyo equipo de seguridad los clasificó como “críticos”, el nivel de clasificación más grave en la plataforma de trading. Desafortunadamente, todo culminó en un caso que requirió la intervención de las autoridades policiales.

“El equipo de operaciones de seguridad de Kraken amenazó a los empleados individuales de CertiK para que devolvieran una cantidad desigual de criptomonedas en un tiempo irrazonable, incluso sin proporcionar direcciones de reembolso. El consenso verbal alcanzado durante nuestra reunión no fue confirmado posteriormente. Finalmente, nos acusaron públicamente de robo e incluso amenazaron directamente a nuestros empleados, lo cual es completamente inaceptable,” dijo CertiK a BeInCrypto.

CertiK ha instado a Kraken a cesar las amenazas contra las persona, que se denomina “hacker de sombrero blanco”. El auditor de contratos inteligentes ha compartido todas las transacciones de depósito de prueba. Añadieron que movieron todos los fondos a una cuenta accesible con Kraken.

Auditor sometido a juicio por el ataque de 3 millones de dólares

A pesar de los esfuerzos de CertiK por arrojar luz sobre el asunto, la comunidad cripto ha criticado a los investigadores, acusándolos de mala práctica. Un usuario observa que “el sentimiento en torno a esta historia habría sido más positivo si se hubiera resuelto amistosamente con Kraken y publicado después.”

El resumen del evento por parte del desarrollador Uttam Singh ridiculizó varios aspectos que inclinan aún más el caso en contra de CertiK. Destaca el hecho de que los investigadores realizaron múltiples transacciones y que esperaron cinco días antes de divulgarlo.

Según Meir Dolev, CTO de Cyvers, una dirección asociada a Certik creó un contrato en la red L2 Base de Coinbase el 24 de mayo.

Esto pone en duda la afirmación de Certik de que descubrieron la vulnerabilidad el 5 de junio. Reportadamente, la dirección también está probando OKX y Coinbase para ver si existe la misma vulnerabilidad que en Kraken.

Basado en la reacción de la comunidad, el sentimiento general es que la acción no fue una investigación de seguridad de sombrero blanco, con participación en redes sociales citando pruebas on-chain. Sin embargo, esto no descarriló la ronda de financiación Serie B3 de CertiK, que recaudó 88 millones de dólares.

Entre los líderes en la ronda de financiación están Insight Partners, Tiger Global y Advent International. Goldman Sachs, Sequoia y Lightspeed Venture Partners también participaron. Cabe destacar, marcó la cuarta ronda de capital recaudado por CertiK en nueve meses, sumando un total de 230 millones de dólares.