La novela Kraken-CertiK ha tomado otro giro. La firma de seguridad CertiK afirma que llevó a cabo una operación de white hat en cuentas específicas de Kraken que no pertenecían a clientes, drenando casi USD 3 millones, según Kraken. Sin embargo, el exchange afirma que el monto total comprometido no le fue devuelto, mientras que CertiK asegura haber devuelto todos los fondos según sus registros.
El 20 de junio, CertiK acudió a X para dar una actualización sobre la situación y afirmó haber devuelto 734 Ether (ETH), 29,001 Tether (USDT) tokens y 1,021 Monero (XMR) monedas, mientras Kraken solicitó 155,818 Polygon (MATIC) tokens, 907,400 USDT, 475.5 ETH y 1,089.8 XMR.
Kraken confirma el exploit, CertiK dice que fue una operación sombrero blanco
La disputa Kraken-CertiK comenzó el 9 de junio, cuando Kraken afirmó haber recibido una alerta del programa de recompensas por errores de un supuesto investigador de seguridad. La alerta destacaba un error en el sistema de Kraken que permitía a los usuarios inflar el saldo de sus cuentas. Cuando el exchange de criptomonedas se apresuró a parchear el error, descubrió tres cuentas que habían aprovechado el fallo, robando USD 3 millones de la cuenta de Kraken.
Kraken encontró que una de las tres cuentas estaba verificada con Know Your Customer (KYC) y usó el error para acreditar USD 4 a su cuenta.
El jefe de seguridad de Kraken, Nick Percoco, dijo que esto habría sido suficiente para demostrar el error y reclamar la recompensa, pero la cuenta supuestamente compartió el fallo con otras dos cuentas, y las tres se embolsaron USD 3 millones del exchange en los días siguientes.
Cuando el exchange de criptomonedas pidió al supuesto "investigador de seguridad" que devolviera los fondos y recogiera su recompensa tras ofrecer las pruebas requeridas en la cadena, el hacker white hat supuestamente se negó a aceptar la solicitud y pidió que se pagara la recompensa primero. Aunque Kraken no reveló el nombre de la firma de seguridad detrás del exploit de sombrero blanco, CertiK reveló que estaba detrás del ataque a Kraken.
CertiK afirmó que su empleado que descubrió la vulnerabilidad fue amenazado para devolver los fondos robados, pero no recibió una dirección de billetera a la que enviar los fondos. Ronghui Gu, cofundador de CertiK, dijo a Cointelegraph:
“El consenso verbal alcanzado durante nuestra reunión no se confirmó después. En última instancia, ellos [Kraken] nos acusaron públicamente de robo e incluso amenazaron directamente a nuestros empleados, lo cual es completamente inaceptable”.
Según informes, CertiK envió los fondos robados al servicio de mezcla de criptomonedas Tornado Cash para evitar que fueran congelados por los exchanges de criptomonedas. El movimiento desencadenó muchas críticas por parte de la comunidad de criptomonedas, que cuestionó el motivo de CertiK detrás de la operación de sombrero blanco.
La comunidad cripto critica a CertiK
La comunidad de criptomonedas planteó preguntas sobre por qué los investigadores de CertiK movieron millones de dólares en fondos cuando una sola transacción podría haber demostrado la vulnerabilidad. Otros les recordaron que Tornado Cash es una herramienta sancionada por la Oficina de Control de Activos Extranjeros (OFAC) y que su uso podría atraer problemas legales para la firma de seguridad. Otros se preguntaron si planeaban devolver los fondos y por qué los enviaron a Tornado Cash.
La mayor parte de la comunidad cripto se puso del lado de Kraken en este asunto y criticó a CertiK por su comportamiento despiadado. Muchos los acusaron de "robar" y chantajear a Kraken por la recompensa.
Kraken dijo a Cointelegraph que está en contacto con agencias de aplicación de la ley en relación con la situación.
Este artículo se actualizará tan pronto como recibamos comentarios de Kraken y CertiK.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.