La società di sicurezza blockchain CertiK ha recentemente rivelato una vulnerabilità critica scoperta nell'exchange di criptovalute Kraken e la conseguente controversia. Nel frattempo, CertiK ha negato fermamente le accuse di estorsione di Kraken e ha affermato che restituirà i fondi utilizzati per i test.
Scoperta delle vulnerabilità e misure adottate
CertiK ha affermato che i suoi ricercatori hanno scoperto il 5 giugno una vulnerabilità nel sistema di deposito di Kraken che potrebbe consentire ad attori malintenzionati di falsificare transazioni di deposito e prelevare fondi falsi. CertiK ha immediatamente avviato un'indagine approfondita e una serie di test per verificare l'effettivo rischio della vulnerabilità.
I test di CertiK hanno rivelato un risultato sorprendente: milioni di dollari potrebbero essere depositati su qualsiasi conto Kraken e oltre 1 milione di dollari di criptovaluta contraffatta potrebbero essere ritirati e convertiti in valuta valida. Durante diversi giorni di test, queste azioni non hanno attivato alcun avviso. Kraken non ha risposto all'incidente se non diversi giorni dopo e ha bloccato l'account di prova.
Controversie sorte e perdite causate
Sebbene CertiK e Kraken inizialmente abbiano comunicato con successo e abbiano adottato misure per correggere la vulnerabilità, la situazione successivamente è peggiorata. Il 18 giugno Kraken è stato accusato di aver minacciato i dipendenti di CertiK, chiedendo il rimborso di importi “non eguagliati” entro un periodo di tempo irragionevole, senza fornire i relativi indirizzi dei portafogli.
Il responsabile della sicurezza di Kraken, Nick Percoco, ha rivelato il 19 giugno che quasi 3 milioni di dollari sono andati persi nel suo portafoglio a causa della vulnerabilità. Ha osservato che il 9 giugno Kraken ha ricevuto una segnalazione anonima da un "ricercatore di sicurezza" che ha rivelato una grave vulnerabilità nel sistema di finanziamento. Kraken ha scoperto che tre account hanno sfruttato questa vulnerabilità in un breve periodo di tempo.
Piano di risposta e rimborso di CertiK
CertiK ha negato le accuse di estorsione di Kraken e ha affermato che poiché Kraken non ha fornito un indirizzo per il rimborso e gli importi richiesti non corrispondevano, CertiK trasferirà i fondi su un conto a cui Kraken ha accesso in base ai registri. CertiK ha sottolineato che i fondi erano destinati ai "test white hat".
Kraken accusa CertiK di agire in modo non etico e presumibilmente criminale perché CertiK ha rifiutato la richiesta di Kraken di restituire fondi e fornire dati. CertiK ha invece organizzato un incontro con Kraken per discutere la determinazione dell’importo della ricompensa in base alle potenziali perdite derivanti dalla mancata divulgazione. #CertiK #Kraken #敲诈勒索 #指控 #交易所漏洞
Conclusione
L'incidente non solo ha evidenziato la vulnerabilità degli scambi di criptovaluta in termini di sicurezza, ma ha anche scatenato discussioni sui limiti etici e legali della ricerca sulla sicurezza.
La disputa tra CertiK e Kraken potrebbe avere conseguenze a lungo termine sulla fiducia e sulla cooperazione nel settore della sicurezza blockchain. Man mano che le questioni legali ed etiche diventeranno più chiare, gli sviluppi di questo incidente continueranno a essere attentamente monitorati sia all’interno che all’esterno del settore.