Kraken publicó un bounty program con muchos términos y condiciones, para solucionar sus problemas sin esfuerzo.
CertiK retiró $4M luego de descubrir un error que reportaron, pero no recibieron dinero por hacerlo, sino polémica y una respuesta pública acusándolos por extorsión.
En teoría los fondos que se retiraron fueron del ¿fondo de tesoro? de Kraken y no fondos de usuarios.
Kraken depositó la misma cantidad en su propia cuenta, para demostrar algo que nadie entiende.
Entre las respuestas que recibió Nick Percoco (Chief Security Officer en Kraken):
Entiendo totalmente por qué CertiK intensificó sus pruebas. Entrar por la puerta principal es la única forma de comprobar si hay más vulnerabilidades.
¿De qué otra manera se pueden probar las salvaguardas de retiro de Kraken (o la falta de ellas) si se activan en umbrales de tolerancia al riesgo?
Nick Percoco debería ser despedido inmediatamente.
Esto expuso una grave incompetencia en la seguridad de Kraken. El error de la puerta de entrada fue un exploit trivial; lo imperdonable es la falta de mayores salvaguardias.
Las críticas a CertiK son irrelevantes para la seguridad de Kraken; bien podría ser un sombrero negro y tienen suerte de que no lo sea.
La falla de ejecución interna de TX no es un problema aislado, es blockchain 101. La broma es que pudieron retirar millones de dólares sin desencadenar ninguna respuesta o auditoría de seguridad.
https://cryptobriefing.com/kraken-extortion-claims-white-hat-3m/