TLDR
Kraken ha scoperto un bug che consentiva agli utenti di gonfiare artificialmente i propri saldi e prelevare fondi senza completare i depositi.
CertiK, una società di sicurezza blockchain, si è identificata come il "ricercatore di sicurezza" che ha sfruttato il bug e ha ritirato quasi 3 milioni di dollari dalle casse di Kraken.
Kraken sostiene che CertiK si è rifiutata di restituire i fondi finché l'exchange non ha fornito una stima delle potenziali perdite, definendola "estorsione".
CertiK ha difeso le proprie azioni, affermando che stava testando la portata della vulnerabilità e che Kraken aveva minacciato i suoi dipendenti di restituire una quantità di fondi non corrispondente entro un periodo di tempo irragionevole.
L'incidente ha scatenato un dibattito sull'etica dell'hacking white hat e dei programmi bug bounty nel settore delle criptovalute.
L'exchange di criptovalute Kraken ha recentemente rivelato di essere caduto vittima di una vulnerabilità di sicurezza che consentiva agli utenti di gonfiare artificialmente i saldi dei propri conti e prelevare fondi senza completare completamente i depositi. L'exchange ha riferito che quasi 3 milioni di dollari sono stati rubati dalle sue casse a seguito dell'exploit.
La società di sicurezza blockchain CertiK si è fatta avanti, identificandosi come il “ricercatore di sicurezza” responsabile dello sfruttamento del bug e del ritiro dei fondi.
Il responsabile della sicurezza di Kraken, Nick Percoco, aveva precedentemente accusato l’allora anonimo team di sicurezza di “estorsione” per essersi rifiutato di restituire i fondi fino a quando l’exchange non avesse fornito una stima delle potenziali perdite se il bug fosse rimasto segreto.
Aggiornamento sulla sicurezza Kraken:
Il 9 giugno 2024 abbiamo ricevuto un avviso relativo al programma Bug Bounty da un ricercatore di sicurezza. Inizialmente non sono stati divulgati dettagli, ma la loro email affermava di aver trovato un bug "estremamente critico" che permetteva loro di gonfiare artificialmente il loro saldo sulla nostra piattaforma.
— Nick Percoco (@c7five) 19 giugno 2024
CertiK, tuttavia, ha difeso le proprie azioni, sostenendo che stava testando la portata della vulnerabilità e che Kraken aveva minacciato i suoi dipendenti di restituire una quantità non corrispondente di fondi entro un lasso di tempo irragionevole, senza nemmeno fornire un indirizzo per il rimborso.
CertiK ha recentemente identificato una serie di vulnerabilità critiche nell’exchange @krakenfx che potrebbero potenzialmente portare a perdite per centinaia di milioni di dollari.
A partire da una scoperta nel sistema di deposito di @krakenfx in cui potrebbe non riuscire a distinguere tra diversi interni... pic.twitter.com/JZkMXj2ZCD
— CertiK (@CertiK) 19 giugno 2024
L'azienda di sicurezza ha fornito una cronologia degli eventi, descrivendo in dettaglio le sue interazioni con Kraken e la scoperta dell'exploit.
Secondo CertiK, la vulnerabilità ha permesso di depositare milioni di dollari su qualsiasi conto Kraken, con la possibilità di prelevare e convertire la criptovaluta fabbricata in criptovalute valide.
L'azienda ha inoltre affermato che non è stato attivato alcun avviso durante il periodo di test di più giorni e Kraken ha risposto e bloccato gli account di prova solo giorni dopo la divulgazione iniziale.
L'incidente ha acceso un dibattito sull'etica dell'hacking white hat e sull'efficacia dei programmi di bug bounty.
Mentre alcuni sostengono che le azioni di CertiK fossero giustificate nell’interesse di testare a fondo la vulnerabilità, altri ritengono che l’azienda abbia oltrepassato il limite ritirando una somma di denaro così ingente e rifiutandosi di restituirla tempestivamente.
Kraken sostiene che le azioni di CertiK non sono in linea con i principi dell’hacking white hat e che sta collaborando con le forze dell’ordine per recuperare i beni. L’exchange ha inoltre sottolineato che nessun fondo degli utenti è stato interessato dall’exploit, poiché il denaro rubato proveniva dalle casse di Kraken.
Il post Bug Bounty Gone Wrong: Kraken accusa CertiK di estorsione, CertiK difende le sue azioni è apparso per la prima volta su Blockonomi.