El exchange de criptomonedas Kraken ha recuperado los fondos perdidos tras un sonado fiasco de explotación de recompensas por fallos.
Kraken ha confirmado la devolución de los activos digitales robados por valor de casi USD 3 millones, poniendo fin a la saga Kraken-Certik que comenzó el 9 de junio.
La recuperación de los fondos, menos las comisiones de transacción, fue confirmada por Nicholas Percoco, jefe de seguridad de Kraken, en un post de X del 20 de junio:
"Actualización: Ya podemos confirmar que los fondos han sido devueltos (menos una pequeña cantidad perdida por comisiones)".
El CSO de Kraken anunció inicialmente los fondos desaparecidos por valor de USD 3 millones el 19 de junio, cuando afirmó que un "investigador de seguridad" los retiró maliciosamente de la tesorería tras descubrir y compartir un fallo existente.
Kraken afirmó que había sido extorsionado por el investigador de seguridad, que se negaba a devolver los fondos, exigiendo una recompensa y una llamada con el equipo de desarrollo empresarial del exchange.
La versión de CertiK
Poco después de la publicación de Kraken sobre los fondos desaparecidos, la empresa de seguridad blockchain CertiK se identificó públicamente como el "investigador de seguridad" que Kraken afirmaba que había robado USD 3 millones en activos digitales.
En un post de X del 19 de junio, CertiK dijo que había informado a Kraken de un exploit que le permitió eliminar millones de dólares de las cuentas del exchange. Certik también afirmó haber sido amenazado por el equipo del exchange:
"Después de las conversiones iniciales con éxito en la identificación y corrección de la vulnerabilidad, el equipo de operaciones de seguridad de Kraken ha AMENAZADO a empleados individuales de CertiK para que devuelvan una cantidad INCORRECTA de criptomonedas en un plazo NO RAZONABLE, incluso SIN proporcionar direcciones de reembolso".
La firma de seguridad publicó una línea de tiempo de los eventos, comenzando con la identificación del exploit el 5 de junio y terminando con las afirmaciones de que Kraken amenazó a un empleado de CertiK el 18 de junio. En una declaración a Cointelegraph, CertiK dijo que planeaba transferir los fondos "a una cuenta a la que Kraken podrá acceder".
¿Por qué CertiK retiró casi USD 3 millones?
El CSO de Kraken dijo inicialmente que la primera transferencia maliciosa, por valor de sólo USD 4, habría sido suficiente para demostrar el fallo y cobrar "recompensas considerables" del programa de recompensas de Kraken.
Sin embargo, el investigador de seguridad, que más tarde se reveló como CertiK, había acuñado casi USD 3 millones en sus cuentas de Kraken.
En un post posterior a la devolución de los USD 3 millones, CertiK dijo que la suma multimillonaria era necesaria para probar los límites del exchange:
"Queremos poner a prueba el límite de los controles de protección y riesgo de Kraken. Después de múltiples pruebas a lo largo de varios días y cerca de USD 3 millones en criptomonedas, no se activó ninguna alerta y todavía no hemos descubierto el límite".
Además, CertiK afirma que no solicitó inicialmente una recompensa, pero fue algo mencionado por el exchange:
"Nunca mencionamos ninguna solicitud de recompensa. Fue Kraken quien primero nos mencionó su recompensa, mientras que nosotros respondimos que la recompensa no era el tema prioritario y que queríamos asegurarnos de que el problema estaba solucionado".
CertiK añadió que no se puso en peligro ningún fondo de los usuarios de Kraken, ya que los fondos explotados fueron "acuñados del aire".
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.