L'exchange di criptovalute Kraken e la società di sicurezza blockchain CertiK si sono impegnati ieri sera in uno scontro pubblico sui social media per una serie di gravi violazioni della sicurezza.

Inizialmente, CertiK ha scoperto una serie di vulnerabilità critiche in Kraken derivanti dalle recenti modifiche all'esperienza utente (UX) di Kraken che avrebbero fatturato i conti dei clienti immediatamente prima che le loro risorse fossero liquidate e consentito ai clienti di scambiare mercati di criptovaluta in tempo reale. Kraken non è ancora completamente testato questo specifico vettore di attacco.

In poche parole, questa vulnerabilità consente a un utente malintenzionato di avviare un’operazione di deposito e ricevere fondi sul proprio conto senza completare completamente il deposito.

Dopo che Kraken ha ispezionato la vulnerabilità, questa è stata immediatamente valutata come critica e il problema è stato mitigato 47 minuti dopo dal team di esperti Kraken. Successivamente, il responsabile della sicurezza di Kraken, Nick Percoco, ha dichiarato che il problema era stato completamente risolto e non si sarebbe ripetuto.

Cronologia dell'evento, fonte: funzionario CertiK X

Tuttavia, è successo qualcosa di interessante. Nick Percoco ha sottolineato che CertiK ha derubato Kraken di quasi 3 milioni di dollari durante questo "controllo di sicurezza", mentre CertiK lo ha fermamente negato.

Cappello bianco o ricatto?

L'indagine post mortem di Kraken ha rilevato che tre account hanno sfruttato la falla nel giro di pochi giorni, incluso un account collegato allo staff di CertiK tramite KYC, che ha utilizzato la falla per aumentare il saldo del suo conto di 4 dollari.

Teoricamente, generare 4 dollari è sufficiente per dimostrare l'esistenza della vulnerabilità e la vulnerabilità viene valutata come "critica" da Kraken. Ciò significa che finché i 4 dollari generati vengono restituiti, è possibile richiedere a Kraken da 1 milione a 1,5 milioni di dollari. generosità.

Taglie del programma di ricompensa dei bug Kraken. Fonte: Kraken

Tuttavia, il “ricercatore di sicurezza” ha scelto di rivelare la vulnerabilità ad altre due persone con cui stava lavorando, che hanno sfruttato la vulnerabilità per generare quantità maggiori di fondi, ritirando infine quasi 3 milioni di dollari dai loro conti Kraken.

Quando Kraken ha chiesto a CertiK di fornire una descrizione dettagliata della campagna, creare una prova di concetto per l'attività on-chain e organizzare la restituzione dei fondi ritirati, CertiK ha rifiutato e ha richiesto una chiamata con il suo team BD. Allo stesso tempo, CertiK ha anche dichiarato che non avrebbe accettato di restituire alcun fondo finché Kraken non avesse fornito un ipotetico ammontare di possibili perdite.

A questo punto, Nick Percoco, Chief Security Officer di Kraken, ha etichettato le azioni di CertiK come estorsione in un tweet e ha considerato la perdita di 3 milioni di dollari come un “caso penale” e si sta attualmente coordinando con le forze dell’ordine per recuperare i fondi.

CertiK ha successivamente difeso le proprie azioni su X .

I test di CertiK su Kraken si sono concentrati su tre domande: gli attori malintenzionati possono falsificare le transazioni di deposito sui conti Kraken? Gli autori malintenzionati possono ritirare fondi contraffatti? Quali controlli dei rischi e protezioni delle risorse potrebbero essere attivati ​​da grandi richieste di prelievo? CertiK ritiene che lo scambio Kraken abbia fallito tutti questi test, indicando che il sistema di difesa approfondita di Kraken è stato compromesso su più fronti.

CertiK ha affermato che a causa di una vulnerabilità che consentiva di depositare milioni di dollari su qualsiasi conto Kraken, Kraken non ha attivato alcun avviso durante il periodo di test di più giorni e solo quando CertiK ha segnalato ufficialmente l'incidente ha risposto e bloccato il conto. conto di prova.

Per quanto riguarda la perdita di 3 milioni di dollari di Kraken, CertiK afferma che Kraken ha minacciato i dipendenti dell'azienda e che l'importo totale dei fondi che Kraken ha richiesto di restituire "non corrisponde" alla criptovaluta rubata. Allo stesso tempo, CertiK ha divulgato tutti gli indirizzi di deposito e ha dichiarato che trasferirà i fondi esistenti su conti a cui Kraken potrà accedere in base ai registri.

I pettegolezzi della comunità sono ancora più eccitanti

Questa società di sicurezza che è stata criticata ha avuto nuovamente problemi e la comunità di crittografia ne ha subito approfittato.

Meir Dolev, fondatore di Cyvers.AI, ha dichiarato: "Secondo l'analisi on-chain, 26 giorni prima che scoppiasse l'incidente Kraken, si è verificata un'attività di prelievo simile su Coinbase con lo stesso hash della firma. Inoltre, 14 giorni fa, lì c'è stata un'attività di prelievo simile anche sulla rete Polygon. C'è stato un trasferimento utilizzando lo stesso hash della firma."

Certik aveva precedentemente affermato di aver scoperto e sfruttato la vulnerabilità Kraken il 5 giugno, ma le prove on-chain sembrano indicare che potrebbe essere stato a conoscenza della vulnerabilità e aver effettuato azioni simili più volte. Gli addetti ai lavori del settore si chiedono se la tempistica annunciata da Certik sia vera e se abbia già sfruttato la vulnerabilità per trasferire fondi per un lungo periodo di tempo. La scoperta ha senza dubbio accresciuto gli interrogativi sull'integrità di Certik.

Non solo, in quanto società di sicurezza, anche la sicurezza di CertiK viene messa in discussione.

Adam Cochran di Synthetix ha dichiarato: "CertiK è un vero e proprio criminale il cui comportamento si è completamente discostato dall'etica professionale di una società di sicurezza. Dato che i progetti che CertiK ha controllato sono stati violati ripetutamente, come può la società esistere ancora oggi?"

Nelle ore successive, Synthetix ha sollevato ancora una volta seri dubbi sulla professionalità e credibilità di CertiK. "I revisori della sicurezza di CertiK hanno approfittato della loro posizione per trasferire e vendere beni attraverso Tornado Cash sanzionati e altri canali. Il modello di comportamento è simile a quello del gruppo di hacker Lazarus."

È stato rivelato che i revisori della sicurezza di CertiK non solo hanno spostato risorse tramite Tornado Cash, ma hanno anche scaricato risorse tramite ChangeNOW, che è esattamente la stessa pratica comune dopo che il gruppo di hacker Lazarus ha compromesso il protocollo di crittografia. Alcuni analisti hanno affermato che Lazarus ha invaso più protocolli di audit Certik rispetto a qualsiasi altro protocollo, sollevando dubbi sul fatto che Certik fosse già stato penetrato dagli hacker.

Anche se non è chiaro se sia coinvolta l'intera azienda CertiK, ciò solleva dubbi sul fatto che il team di ricerca sulla sicurezza di Certik sia stato "compromesso".

Persone importanti hanno sottolineato che, dato che l'organizzazione hacker nordcoreana ha chiesto agli agenti di utilizzare i protocolli DeFi per trovare lavoro, sono anche "collusi" con i revisori di CertiK Altrimenti, è difficile spiegare il motivo per cui un'azienda americana con molti investitori noti? estorcerebbero transazioni e violerebbero le sanzioni statunitensi sugli accordi sul riciclaggio di denaro.

Chen Jian di Puffer Finance ha dichiarato: "Un ex dipendente ha rivelato che il senior management di CertiK prestava troppa attenzione ai profitti e presentava deviazioni nei valori. La società una volta emetteva token e poi li abbandonava, causando perdite agli investitori. Si raccomanda che le parti del progetto scegli attentamente CertiK per gli audit di sicurezza." Chen Jian ritiene che CertiK sia sostanzialmente diventata una "società di stampaggio avvolta in un'aureola e che addebita commissioni costose". I progetti controllati hanno ripetutamente riscontrato problemi di sicurezza.

Inoltre, è stato rivelato che "alcuni revisori interni di CertiK hanno fatto trapelare informazioni aziendali riservate e dettagli di audit".

Per quanto riguarda i misfatti di CertiK, molti addetti ai lavori del settore hanno criticato CertiK come "disgustoso", "immorale", "irresponsabile", "delirante" e "inutile". Un gran numero di membri della comunità di crittografia si sono uniti a questo attacco verbale contro CertiK. Tra questi, l'ex dipendente dell'OKX Zi Ye ha detto: "Qualcuno ha preso a calci la piastra di ferro".

DegenBing.eth |. Buji DAO ha detto senza mezzi termini che le persone che lodano CertiK sono stupide o cattive: "Tutti, sbrigatevi a preparare i popcorn, il seguito dovrebbe essere emozionante." Anche l'utente della community @tayvano_ ha espresso scherno a CertiK, "Non ci sono assolutamente scuse per il comportamento di CertiK e non può essere considerato affatto un legittimo test del cappello bianco" e ha invitato CertiK a "uscire".

CrertiK, rimane solo "diffamazione del mondo"?

Dalla reazione della comunità si evince che CertiK, protagonista di questo incidente, non è la prima volta ad essere coinvolta in polemiche. CertiK è nato nel 2017 e una volta era un progetto di punta nel campo della sicurezza Web3. I suoi fondatori sono Shao Zhong, presidente del Dipartimento di Informatica della Yale University e professore di ruolo, e Gu Ronghui, professore del Dipartimento di Informatica della Columbia University, entrambi eminenti studiosi nel campo della sicurezza.

Nel 2021, CertiK ha iniziato a svilupparsi rapidamente e ha ricevuto cinque finanziamenti in meno di un anno, tra cui gli investitori più lussuosi come Goldman Sachs, Tiger, SoftBank, Sequoia e Hillhouse. Quell'anno, tutte le società DeFi sottoposte a audit di sicurezza in CoinMarketCa progetti, CertiK ha una quota di mercato del 70%, superando di gran lunga i suoi pari. Tra i suoi clienti cooperativi figurano progetti leader come Aave, Polygon, Yearn Finance e Chiliz.

D'altro canto, CertiK ha dovuto affrontare polemiche sin dal suo lancio. La comunità ha messo in dubbio il fatto che CertiK occupi la maggior parte del mercato nel campo della sicurezza Web3, ma non può garantire la sicurezza dei progetti che gestisce. Alcune persone si sono addirittura lamentate: "Non tutti gli audit CertiK sono scomparsi, ma quasi tutti quelli che se ne sono andati sono audit CertiK, e a tutti piace affermare di aver effettuato l'aggiornamento, ma i risultati effettivi sono noti a tutti, quindi "CertiK Audit" è quasi diventata una guida alla protezione dai fulmini.

Nell'aprile 2023, Geek Park ha intervistato il CEO di CertiK Gu Ronghui, che ha risposto a queste polemiche con la frase "famoso in tutto il mondo, calunniato in tutto il mondo". Per quanto riguarda i frequenti problemi di sicurezza, CertiK li considera "situazioni inevitabili" e risponde pubblicando rapporti di audit di sicurezza e consentendo alla comunità di condurre ispezioni spontanee. Gu Ronghui una volta ha detto che non vuole che CertiK diventi un "capitolo" o un antifurto "Certificato".

Poco dopo la pubblicazione del rapporto di Geek Park che intervistava CertiK, circa 1,82 milioni di dollari sono stati rubati da Merlin, una piattaforma di trading decentralizzata basata su zkSync. Prima di ciò, Merlin aveva appena superato l'audit di CertiK. Questa volta CertiK ha trasferito Merlin a L'attacco è stato attribuito a un "canaglia". sviluppatori."

Un mese dopo, il progetto DeFi Swaprum è scappato settimane dopo essere stato verificato da CertiK, prelevando un totale di 3 milioni di dollari dai fondi dei clienti. La comunità ha puntato il dito contro CertiK, affermando che ha sancito "l'ennesima cospirazione".

Oltre ai vari incidenti, la comunità ha messo in dubbio anche le barriere tecniche di CertiK.

CertiK utilizza la verifica formale e la collaborazione della tecnologia AI per fornire servizi di controllo della sicurezza blockchain end-to-end, in poche parole, utilizza una combinazione di verifica formale e verifica manuale per controllare automaticamente i problemi del codice sorgente utilizzando modelli linguistici di grandi dimensioni, condurre attacchi simulati e quindi. Gli ingegneri della sicurezza forniranno feedback sulle questioni sollevate.

Il fondatore è fiducioso nel suo meccanismo: "Anche se la nostra tecnologia non si sviluppa, finché possiamo vedere più codice e avere più persone che lo annotano, il nostro motore migliorerà sempre di più. Quindi il nostro livello di sicurezza aumenterà". più in alto e avremo sempre più clienti, il che renderà il motore sempre migliore ".

Oltre al fatto che i risultati dell'audit non sono affidabili, la storia oscura di CertiK include anche la sua esperienza nell'emissione di valuta. CertiK ha lanciato la catena Certik e il suo token CTK nel 2021, ma ora l'introduzione del suo token CTK non è più reperibile. il sito ufficiale di Certik.

Resta inteso che CTK aveva in quel momento due round di collocamento privato, uno con una quota del 29% e un prezzo di 0,77 dollari USA e un secondo round con una quota del 9% e un prezzo di 1,9 dollari USA; Dopo che CTK è andato online, ha iniziato una tendenza al ribasso dopo un breve addebito. Al momento della stesura, il suo prezzo era di $ 0,8.

Dopo essere stato coinvolto nella controversia sul "ricatto di Kraken", sebbene Kraken abbia dei punti deboli, l'atteggiamento della comunità è sorprendentemente coerente e hanno raccontato le azioni passate di CertiK. Dall'essere un progetto di punta nel campo della sicurezza Web3 con una lussuosa gamma di finanziamenti e una valutazione di 2 miliardi di dollari, all'essere coinvolto in varie controversie e essere considerato un "etichetta per evitare i fulmini", l'esperienza di CertiK negli ultimi anni ha fatto sospirare la comunità e ha anche fornito opportunità agli sviluppatori di progetti che sono ancora sulla scena.