CertiK emitió un comunicado identificándose como la empresa a la que pertenece el equipo de investigadores que reportó un bug en Kraken, el exchange de criptomonedas, además de devolver los fondos sustraídos de las arcas de la plataforma.
Contenido:
Comunicado de CertiK
Después de que Nick Percoco, Jefe de Seguridad de Kraken, denunciara ayer a un equipo de investigadores por haber aprovechado un bug de seguridad para retirar $3 millones del exchange de criptomonedas antes de reportarlo, CertiK, la empresa de seguridad blockchain, se identificó como la responsable:
En el comunicado, la compañía señaló que habían llevado a cabo diversas pruebas alrededor del bug para comprobar hasta dónde podía ser vulnerado, lo cual generó la acuñación de millones de dólares en criptomonedas.
A su vez, CertiK denunció de regreso a Kraken por supuestamente amenazar directamente a los miembros del equipo de investigadores, exigir la devolución de una cantidad incorrecta de criptomonedas en un plazo “irracional” y no proporcionar una dirección de reembolso.
Para complementar el comunicado, la compañía adjuntó en el hilo publicado varias capturas de pantalla donde se muestran los detalles de las transacciones realizadas durante las pruebas en las que se identificó el bug de seguridad.
Kraken repartirá los fondos recuperados
Kraken confirmó que los fondos retirados de las arcas del exchange ya habían sido devueltos por parte del equipo de seguridad involucrado, menos una pequeña fracción que fue destinada al pago de comisiones por el servicio de transferencias.
A su vez, se anunció que los $2.9 millones recuperados serían distribuidos entre los miembros de la comunidad de Kraken, por lo que Percoco publicó un enlace para que los usuarios calificados puedan reclamar su recompensa:
https://twitter.com/c7fihe/status/1803817493686829349
El jefe de seguridad, sin embargo, había expresado que consideraba que la primera transacción fraudulenta hecha a través del bug, la cual generó $4 en criptomonedas, era suficiente para comprobar el reporte de seguridad en el programa, por lo que calificó como innecesarias las insistentes “pruebas” de CertiK.
¿Qué ocurrirá con el caso?
Considerando los acontecimientos, en su denuncia original, Percoco señaló que Kraken manejaría el incidente como un proceso penal, ya que los investigadores “no habían respetado las reglas de los whitehat hackers” en la búsqueda y reporte de vulnerabilidades.
Cabe destacar que los llamados “whitehat hackers” (hackers de sombrero blanco) se diferencian de sus contrapartes por explotar sistemas “por el bien de la comunidad”, ya que, una vez que identifican una vulnerabilidad, ésta es reportada con el fin de que sea atendida y resuelta.
Por ello, muchas plataformas cuentan con programas que recompensan este tipo de servicios prestados voluntariamente por miembros de la comunidad. No obstante, después de anunciar que los fondos serían repartidos, Kraken no ha emitido más actualizaciones respecto al incidente o a las acciones que planeaba tomar contra CertiK.
