En este artículo hablamos de una historia que tiene de lo increíble: hace pocos días la sociedad de auditoría Certik ha identificado una falla en los sistemas de seguridad del crypto exchange Kraken tal que podría llevar a un grave hackeo.
Después de haber realizado algunas pruebas durante 3 días y ejecutado un ataque “white hack” de 3 millones de dólares, Certik contactó a Kraken para informarle del bug, pero inicialmente se negó a devolver inmediatamente la suma robada.
El intercambio en crypto contactó de inmediato a las fuerzas del orden tratando la situación como un caso criminal, mientras que la firma de seguridad criptográfica insiste en que se trata de una prueba típica de un “bounty program”. Ahora los fondos parecen haber sido devueltos.
Veamos todo en los detalles a continuación.
Summary
El hack de 3 millones de dólares en perjuicio del crypto exchange Kraken: Certik es el responsable, pero se niega a devolver el dinero
Esta historia comienza el 9 de junio de 2024, cuando el crypto exchange Kraken recibe una comunicación informal por parte de un “investigador de seguridad” que afirma haber descubierto una vulnerabilidad en la plataforma que podría haber causado un hack de grandes dimensiones.
Como reportado en un tweet post-mortem por parte de Nick Percoco, Chief Security Officer de Kraken, el investigador habría evidenciado una falla en los sistemas de seguridad de los depósitos (incapaz de distinguir diferentes estados de transferencia interna), que permite a los usuarios inflar su propio balance y retirar más coins de las que realmente tienen a su disposición. El exchange se movilizó de inmediato para resolver el problema, y en apenas 47 minutos un equipo de expertos logró arreglar el bug.
Esto es lo que informó Percoco:
«el bug ha permitido a un agresor malintencionado, en las circunstancias adecuadas, iniciar un depósito en nuestra plataforma y recibir fondos en su cuenta sin completar completamente el depósito. Para ser claros, ningún activo de los clientes estuvo nunca en riesgo”
Hasta aquí todo en la norma, si no fuera porque la misma sociedad de seguridad web3 donde trabaja el investigador que contactó a Kraken, antes de comunicar oficialmente el bug habría realizado varios hackeos en la plataforma por un total de 3 millones de dólares.
Justo después de la publicación del post de Percoco, la conocida firma de auditoría Certik asumió inmediatamente la responsabilidad del incidente y reveló su papel determinante en el asunto.
Certik habría “probado” los mecanismos de defensa de Kraken llevando a cabo un ataque a gran escala, y retirando grandes cantidades de token MATIC de 3 cuentas diferentes, para luego limpiar las huellas de los fondos a través del mezclador Tornado Cash.
Como explicó el responsable de seguridad del exchange, después de haber solucionado el problema, Kraken pidió a Certik que devolviera los fondos, pero ella inicialmente se negó.
A pesar de ello, Certik insiste en que su actividad está en línea con los principios “white hack”.
Al parecer Certik no ha mencionado el papel de las 3 cuentas exploiter en el incidente, a pesar de haber realizado las pruebas de retiro en los 3 días anteriores a la comunicación con Kraken.
El investigador de seguridad que ha avistado el bug, habría pedido una cuantiosa recompensa por haber identificado una gran falla que podría haber implosionado en un pesado hack, pero Kraken insistió en que quería de vuelta sus propios fondos.
Dado que la sociedad de auditing se negó a devolver el botín, y de hecho parecía haberse movido para ocultar las pruebas del hackeo, el exchange decidió tratar la situación como si fuera un caso criminal, avisando a las autoridades competentes y a las fuerzas del orden.
La compañía de seguridad web3 había pedido al exchange una recompensa bounty igual al monto especulado que este bug podría haber causado si no hubiera sido divulgado, enfureciendo al equipo de la plataforma de intercambio.
Percoco ha comentado en su perfil X lo sucedido, mostrando toda su oposición hacia el comportamiento de Certik:
“Esto no es white hacking, esto es extorsión”.
La desmentida de Certik: fondos devueltos a pesar de que algunos empleados hayan recibido amenazas del equipo de Kraken
Certik, después de haberse presentado como la sociedad responsable de haber identificado la falla en los sistemas de depósito, ha desmentido rápidamente lo contado por Kraken destacando el rol “white hack” y sus propias intenciones positivas.
La sociedad ha revelado que ha llevado a cabo un hack de grandes dimensiones, por un importe de 3 millones de dólares, solo con el propósito de probar la defensa del exchange, pero también ha subrayado que nunca se ha negado a devolver el botín, sino que más bien quería asegurarse de que todo se ejecutara correctamente.
Certik ha dicho que se ha maravillado del potencial impacto negativo que el bug podría haber causado, pero sobre todo del hecho de que las alarmas de Kraken nunca se activaron. Esto es lo que se afirmó en una publicación:
«Millones de dólares pueden ser depositados en CUALQUIER cuenta Kraken. Una enorme cantidad de cripto (con un valor de más de 1 M + USD) puede ser retirada de la cuenta y convertida en criptos válidas. Peor aún, durante el período de prueba de varios días no se activaron alertas».
Además, la firma de auditoría explicó que un miembro del equipo del exchange habría amenazado a uno de sus propios investigadores con devolver la suma dentro de un período de tiempo poco razonable (6 horas) sin embargo, no proporcionó una dirección de repayment.
Esto se llevó a cabo después de que, a distancia de días del hack, las dos sociedades se comunicaron por llamada para buscar una solución y resolver el asunto.
Al parecer, lo que desató el caos fue el importe del premio de bounty propuesto por Kraken, que no se consideró adecuado al esfuerzo realizado y al posible exploit prevenido. Como de hecho informó un portavoz de Kraken a Coindesk:
«Hemos involucrado a estos investigadores de buena fe y, en línea con una década de gestión de un programa de recompensas de errores, habíamos ofrecido una recompensa considerable por sus esfuerzos. Estamos decepcionados por esta experiencia y ahora estamos trabajando con las fuerzas del orden para recuperar los bienes de estos investigadores de seguridad».
Hoy Certik ha publicado otro post con algunas FAQ para aclarar aún más su posición y eliminar cualquier duda.
La sociedad de seguridad reitera haber “consistentemente” confirmado que devolvería el importe robado, y afirma que ahora todos los fondos están de vuelta en manos de Kraken.
Estos fondos fueron enviados al remitente en 734.19215 ETH, 29,001 USDT y 1021.1 XMR, mientras que el exchange habría solicitado expresamente enviar 155818.4468 MATIC, 907400.1803 USDT, 475.5557871 ETH y 1089.794737 XMR, por un valor total mayor de aproximadamente 100.000 dólares.
Kraken se mantiene firme en su propio concepto de ética del “white hacking” y sostiene que el bullismo llevado a cabo por Certik puede ser identificado como extorsión.
El programa Bounty del exchange requiere de hecho a terceros encontrar el problema, aprovechar el importe mínimo necesario para probar el bug (sin ejecutar un hack de 3 millones de dólares), devolver los recursos y proporcionar detalles sobre la vulnerabilidad.