Kraken e CertiK si contendono $3 milioni sottratti durante un test di sicurezza

Aniello Raul Barone
| 4 min read

Kraken-Certik: Disputa da $3 milioni

La recente disputa sorta tra CertiK e Kraken ha portato alla luce questioni critiche incentrate sull’exploit di un bug di sicurezza, che ha portato al prelievo non autorizzato di circa 3 milioni di dollari dei fondi di Kraken da parte di un team di ricerca di CertiK.

Interrogate in merito all’accaduto, entrambe le parti hanno presentato testimonianze contrastanti, sollevando così questioni significative sulla natura dell’hacking etico, sui protocolli di comunicazione e sulla gestione appropriata delle vulnerabilità scoperte.

L’origine della controversia


Di recente, l’exchange Kraken ha subito una perdita di circa 3 milioni di dollari a causa di un bug intercettato dal team esterno che si occupa sicurezza su blockchain e che aveva già segnalato la vulnerabilità.

Il responsabile della sicurezza di Kraken, Nicholas Percoco, ha lanciato un’accusa di estorsione sostenendo che il team ha chiesto una ricompensa per i fondi rubati, e che si è rifiutato di restituirli a meno che Kraken non accettasse di pagare un importo commisurato in base ai potenziali danni evitati.

Secondo Percoco, il bug, segnalato per la prima volta il 9 giugno, ha permesso al team di ricerca di prelevare oltre 3 milioni di dollari dai fondi di Kraken. Il team di hacker ha sfruttato il bug nonostante avesse avvisato Kraken della falla critica di sicurezza.

L’exchange ha confermato che le risorse rubate provenivano dal propri bilancio e non dai conti degli utenti. Insomma si sono affrettati a rassicurare i clienti che i loro fondi erano al sicuro. Adesso, Kraken sta collaborando con le forze dell’ordine per recuperare i fondi rubati.

Inoltre, Percoco ha aggiunto che uno degli account coinvolti nell’exploit ha completato la verifica dell’identità secondo la procedura prevista dal protocollo Know Your Customer (KYC).

Il team di ricerca ha inizialmente provato l’esistenza del bug con un trasferimento di crypto minimo, del valore di 4 dollari ma sufficiente per richiedere la ricompensa a Kraken. Peccato che subito dopo i white hacker hanno prelevato circa 3 milioni di dollari dal bilancio dell’exchange, sollevando non pochi dubbi sulla legittimità dell’operazione.

Gli anonimi white hacker hanno quindi gettato la maschera e si sono rivelati come una delle piattaforme leader per la sicurezza blockchain, CertiK. A quel punto sono passati al contrattacco, accusando Kraken di aver minacciato i propri collaboratori.

Percoco ha espresso disappunto, dal momento che la richiesta di Kraken di riottenere i propri fondi è stata accolta con accuse di scarsa professionalità.

Controversia sulle operazioni white hat di CertiK-Kraken


Diverse domande critiche sono sorte sulla natura di questa recente controversia tra CertiK e Kraken e sulle azioni intraprese da entrambe le parti.

CertiK si è quindi fatta avanti per chiarire e ha affermato che nelle sue attività di ricerca non sono stati coinvolti beni di utenti reali di Kraken, poiché le criptovalute sono state coniate dal nulla. Nonostante le accuse, CertiK ha sempre assicurato a Kraken che avrebbe restituito i fondi, cosa che ha fatto.

Tuttavia, l’importo totale restituito non è coerente con la richiesta di Kraken. CertiK ha restituito:

  • 734,19215 ETH
  • 29.001 USDT
  • 1.021,1 XMR

mentre Kraken aveva richiesto:

  • 155.818,4468 MATIC
  • 907.400,1803 USDT
  • 475,5557871 ETH
  • 1.089,794737 XMR

La società di audit CertiK ha spiegato che le ragioni per cui ha condotto più test su larga scala erano di valutare i limiti dei controlli di protezione e di rischio di Kraken.

Inoltre, CertiK ha osservato che, nonostante i test abbiano coinvolto quasi tre milioni di dollari di criptovalute per diversi giorni, non è stato attivato alcun allarme.

Il team di sicurezza sostiene di aver prontamente comunicato tutti i dettagli della vulnerabilità a Kraken che, in base al loro rapporto, ha risolto il problema entro 47 minuti.

Hanno inoltre dichiarato di non aver partecipato al programma di ricompense di Kraken e di non avere intenzione di chiedere una taglia. La loro priorità era assicurarsi che il problema fosse risolto.

Sebbene non abbiano inviato a Kraken un elenco completo delle transazioni, hanno fornito indirizzi di deposito di grandi dimensioni fin dal primo giorno, consentendo a Kraken di identificare tutte le transazioni e bloccare tutti i conti correlati. CertiK ha inoltre reso pubbliche tutte le transazioni di deposito.

Reazioni della comunità


La controversia su CertiK ha suscitato forti reazioni all’interno della comunità crypto. Figure di spicco come Adam Cochran e Erik Voorhees hanno commentato la situazione.

Cochran ha sottolineato che i revisori della sicurezza di CertiK hanno spostato le attività tramite Tornado Cash e le hanno scaricate tramite ChangeNOW, uno schema associato a gruppi di hacker come Lazarus. Ha inoltre affermato che:

“Lazarus ha violato più protocolli controllati da CertiK di qualsiasi altro”.

Nel corso delle discussioni, alcuni hanno ricordato all’azienda che Tornado Cash è uno strumento sanzionato dall’Office of Foreign Assets Control (OFAC), avvertendo che il suo utilizzo potrebbe causare problemi legali.

In quanto azienda americana, l’utilizzo di uno strumento sanzionato dagli Stati Uniti potrebbe comportare pesanti problemi legali per CertiK.

Il CEO di ShapeShift, Erik Voorhees, ha messo in dubbio la rilevanza delle sanzioni se CertiK non ha sede negli Stati Uniti. Cochran ha risposto sottolineando che i cofondatori di CertiK sono professori statunitensi e che la sede dell’azienda è negli Stati Uniti.

I membri della comunità hanno espresso preoccupazione per la gravità della situazione. L’utente Twitter @ToroTheDog ha sottolineato la gravità della violazione dei regolamenti OFAC, suggerendo che CertiK ha bisogno di una consulenza legale immediata.

Sono inoltre sorte domande sulle intenzioni dell’azienda di restituire i fondi e sul motivo per cui li ha inviati a Tornado Cash.

Nel frattempo, Kraken ha rassicurato i suoi utenti che i loro fondi non sono mai stati a rischio e si impegna a recuperare i beni rubati.

L’exchange rimane fermo nella sua posizione contro CertiK, accusando l’azienda di pratiche non etiche e sollecitando la restituzione di tutti i fondi sfruttati.

Leggi anche: