La società di sicurezza blockchain CertiK ha confermato che c'era dietro un bug exploit che ha comportato un ritiro non autorizzato di token per un valore di 3 milioni di dollari da Kraken.

CertiK, società di sicurezza blockchain con sede a New York, ha ammesso di essere dietro un bug exploit che ha comportato un ritiro non autorizzato di token per un valore di 3 milioni di dollari dall'exchange di criptovalute Kraken.

In un thread del 19 giugno su X, CertiK ha rivelato di aver identificato una serie di "vulnerabilità critiche" nell'exchange di Kraken che potrebbero "portare potenzialmente a perdite per centinaia di milioni di dollari".

CertiK ha recentemente identificato una serie di vulnerabilità critiche nell'exchange @krakenfx che potrebbero potenzialmente portare a perdite per centinaia di milioni di dollari. A partire da una scoperta nel sistema di deposito di @krakenfx in cui potrebbe non riuscire a distinguere tra diversi interni... pic.twitter.com/ JZkMXj2ZCD

— CertiK (@CertiK) 19 giugno 2024

Secondo CertiK, il problema è stato identificato per la prima volta il 5 giugno e Kraken non ha superato numerosi test, indicando che il sistema di difesa approfondita dell'exchange era "compromesso su più fronti". L’azienda ha in particolare notato di essere riuscita a bypassare i controlli del rischio di prelievo dell’exchange senza attivare alcun avviso.

"Un'enorme quantità di criptovalute fabbricate (del valore di oltre 1 milione di dollari) possono essere prelevate dal conto e convertite in criptovalute valide. Peggio ancora, non è stato attivato alcun avviso durante il periodo di test di più giorni. Kraken ha risposto e bloccato gli account di prova solo pochi giorni dopo aver segnalato ufficialmente l'incidente."

CertiK

Ti potrebbe interessare anche: Il capo della sicurezza di Kraken rivela che il cambiamento della UX ha comportato un bug exploit da 3 milioni di dollari

Dopo aver scoperto i difetti, CertiK afferma di aver informato Kraken, il cui team di sicurezza ha classificato il problema come “critico”. Tuttavia, dopo che l'exploit è stato identificato e risolto, CertiK sostiene che il team delle operazioni di sicurezza di Kraken ha "minacciato" singoli dipendenti di CertiK, chiedendo il rimborso di una "quantità non corrispondente di criptovalute in un tempo irragionevole, anche senza fornire indirizzi di rimborso".

CertiK ha esortato Kraken a "cessare qualsiasi minaccia contro gli hacker whitehat", affermando il suo impegno nei confronti della comunità web3 "nello spirito di trasparenza". Tuttavia, l'incidente ha suscitato polemiche e scetticismo all'interno della comunità blockchain poiché i ricercatori blockchain hanno evidenziato discrepanze nella cronologia e nelle affermazioni di CertiK.

HAHAHHA FOTTUTI PAGLIACCI Non esiste assolutamente NESSUN universo in cui questa sia "ricerca sulla sicurezza whitehat". Kraken è incredibilmente paziente per non chiamarlo apertamente per quello che è chiaramente: un furto multimilionario con un lato di estorsione.

— Tay 💖 (@tayvano_) 19 giugno 2024

Come ha notato Meir Dolev, Chief Technology Officer di Cyvers, sul suo account X, un indirizzo associato a CertiK ha iniziato un'attività sospetta su più reti blockchain settimane prima che l'incidente Kraken fosse segnalato per la prima volta, sollevando dubbi sulla sequenza temporale fornita da CertiK.

In seguito all'incidente @krakenfx, un'attività simile è iniziata sulla base 26 giorni fa!! Lo stesso hash della firma è stato utilizzato anche su Polygon 14 giorni fa. Quindi dovremmo credere alla cronologia di Cetik secondo cui hanno scoperto la vulnerabilità solo il 5 giugno?@tayvano_ pic.twitter.com/cvAnVrTg67

– Meir Dolev (@Meir_Dv) 19 giugno 2024

In un post successivo sotto il thread di CertiK, il direttore di Coinbase Conor Grogan ha sottolineato che gli indirizzi associati a CertiK hanno inviato parte della criptovaluta ritirata a Tornado Cash, un servizio di mixing autorizzato dall'Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro degli Stati Uniti. per aver facilitato circa 7 miliardi di dollari di riciclaggio di criptovalute dal 2019.

I rapporti sostengono inoltre che gli indirizzi associati a CertiK hanno inviato parti della criptovaluta ritirata a ChangeNOW, un exchange di criptovalute non custodito. Al momento della stesura di questo articolo, CertiK non ha rilasciato dichiarazioni pubbliche sul motivo per cui ha interagito con Tornado Cash e ChangeNOW, sebbene affermi di aver restituito tutti i token ritirati a Kraken.

Per saperne di più: Telegram confuta l'affermazione di CertiK sui rischi per la sicurezza del download automatico