La firma de seguridad blockchain CertiK confirmó que fue la responsable de descubrir una vulnerabilidad crítica en el sistema de depósitos del intercambio de criptomonedas Kraken.
CertiK también alegó que Kraken amenazó a sus empleados el 18 de junio y exigió la devolución de una cantidad «desigual» en un tiempo irrazonable sin proporcionar una dirección relevante de billetera. La firma negó las acusaciones de extorsión y dijo que transferiría los fondos utilizados para sus pruebas de «white-hat» de vuelta a la dirección de billetera que tenía en sus registros, ya que Kraken no proporcionó una nueva dirección.
La investigación de CertiK comenzó el 5 de junio cuando sus investigadores encontraron un problema en el sistema de depósitos de Kraken que no diferenciaba entre varios estados de transferencia interna. Esto llevó a una investigación más profunda sobre si un actor malicioso podría fabricar una transacción de depósito y retirar fondos falsificados. Las pruebas de CertiK revelaron que se podían depositar millones de dólares en cualquier cuenta de Kraken y que se podía retirar y convertir en criptomonedas válidas un monto de criptomonedas falsificadas superior a $1 millón.
A pesar de las comunicaciones exitosas iniciales y los pasos para identificar y solucionar la vulnerabilidad, la situación se deterioró, llevando a la divulgación pública de CertiK. El 18 de junio, Kraken presuntamente amenazó a un empleado de CertiK exigiendo la devolución de fondos sin proporcionar direcciones. El oficial de seguridad de Kraken, Nick Percoco, reveló que casi $3 millones fueron tomados de sus billeteras debido a un error que permitía a cualquier persona iniciar un depósito en la plataforma y recibir los fondos sin completar la transacción.
Kraken afirmó que los investigadores se negaron a devolver los fondos y proporcionar datos de acuerdo con los programas habituales de recompensa por errores. Los investigadores programaron reuniones entre el intercambio y el departamento de negocios de CertiK para discutir el valor de la recompensa basado en los daños que podría haber causado si no se hubieran revelado.
La situación resultó en acusaciones de acciones éticas y criminales por parte de Percoco hacia los investigadores.
Deja una respuesta