Enorme confusión en el sector cripto este miércoles, después de que el exchange de criptomonedas Kraken reportase haber sido hackeado por quien, inicialmente, creían que era un hacker ético que pretendía ganar una recompensa legal ayudando a la empresa a encontrar fallas en su sistema. El caos empezó cuando, desde Kraken, alertaron de haber perdido 3 millones de dólares a manos de este experto informático, tras lo que empezaron a considerar a dicha persona como hacker malicioso.
Sin embargo, la empresa de pentesting CertiK se ha atribuido el ataque, y han explicado que no se trata de una acción maliciosa, sino de una prueba de que, tal y como han logrado hacer, ha sido posible generar de la nada tokens por valor de más de un millón de dólares tan solo manipulando el sistema del intercambiador de criptomonedas.
El equipo de Kraken, que tras conocer el hackeo monetario pasó a estudiar el caso como un ataque malicioso en lugar de como una actividad permitida, se alarmó al ver que el investigador de ciberseguridad, en lugar de simplemente exponer ante la empresa el fallo descubierto, «reveló este error a otras dos personas con las que trabaja y que generaron fraudulentamente sumas mucho mayores. Finalmente retiraron casi 3 millones de dólares de sus cuentas de Kraken. Esto fue de las tesorerías de Kraken, no de otros activos de clientes», indican desde la firma cripto. «Esto no es hacking de sombrero blanco, es extorsión», lamentan.
Pero la situación cambió cuando la empresa de ciberseguridad en blockchain para la que trabajaba el hacker, CertiK, compartió en X su versión de los hechos: «CertiK identificó recientemente una serie de vulnerabilidades críticas en el exchange Kraken
que potencialmente podría generar cientos de millones de dólares en pérdidas», avisaron. Además de compartir una línea temporal explicando todo lo sucedido, avisaron de un muy preocupante resultado sobre las pruebas de seguridad realizadas.
Fue posible generar tokens falsos que luego era posible intercambiar por dinero real, pese a que estos tokens nunca habían existido: «El sistema de defensa en profundidad de Kraken está comprometido en múltiples frentes. Se pueden depositar millones de dólares en CUALQUIER cuenta de Kraken. Se puede retirar de la cuenta una gran cantidad de criptomonedas fabricadas (con un valor de más de 1 millón de dólares) y convertirlas en criptomonedas válidas», relatan en el post.
Graves problemas de seguridad
Las acusaciones de CertiK ponen en un aprieto a Kraken, exchange de gran popularidad con más de millón y medio de seguidores en X. Además, la seguridad es uno de los principales claims que la empresa usa para promocionar su plataforma.
El análisis de CertiK es tajante: «Durante varios días, con muchos tokens fabricados generados y retirados a criptomonedas válidas, no se activó ningún mecanismo de prevención o control de riesgos hasta que CertiK lo informó. La verdadera pregunta debería ser por qué el profundo sistema de defensa de Kraken no pudo detectar tantas transacciones de prueba. Los grandes retiros continuos de diferentes cuentas de prueba fueron parte de nuestras pruebas», indican.
Como prueba de transparencia, CertiK también ha publicado una tabla en la que puede verse la información de direcciones de las billeteras digitales a las que se realizaron los envíos de dinero. La gestión por parte de Kraken, y el traspaso de dinero ejecutado por CertiK han causado una enorme trifulca entre ambas compañías, entre las que se establece ahora una relación tensa, tal como denota esta parte del comunicado de CertiK: «El equipo de operaciones de seguridad de Kraken ha amenazado a los empleados individuales de CertiK con reembolsar una cantidad incorrecta de criptomonedas en un tiempo irrazonable, incluso sin proporcionar direcciones de pago», critican desde la firma de ciberseguridad.
El tono de Kraken es igual de agresivo que el de CertiK, ya que en un reciente post en su blog en el que aseguran haber corregido lo que es un «bug aislado», señalan que no van a darle «crédito al investigador por esta divulgación porque no cumplió con ninguna de estas expectativas de la industria».
Está por ver cuál es la reacción de los usuarios de la plataforma de compraventa.
Fuente: adslzone
