La società di sicurezza blockchain CertiK si è identificata come il ricercatore di sicurezza che Kraken sostiene di aver rubato risorse digitali per un valore di quasi 3 milioni di dollari. 

Kraken ha subito un attacco di bug meno di due settimane fa, perdendo quasi 3 milioni di dollari. All'epoca, l'exchange di criptovalute dichiarò che stava trattando l'incidente come un procedimento penale e che si sarebbe coordinato con le forze dell'ordine. 

L'attacco del Kraken 

Il 9 giugno, l'exchange di criptovalute Kraken ha rivelato di aver subito un exploit che ha visto la piattaforma perdere asset per 3 milioni di dollari. Secondo un rapporto condiviso dal Chief Security Officer di Kraken, Nicholas Percoco, la piattaforma ha ricevuto un avviso di programma bug bounty da un ricercatore di sicurezza che affermava di aver trovato un bug estremamente critico che ha permesso loro di gonfiare artificialmente il proprio saldo su Kraken. 

“Il 9 giugno 2024, abbiamo ricevuto un avviso relativo al programma bug bounty da un ricercatore di sicurezza. Inizialmente non sono stati divulgati dettagli, ma la loro email affermava di aver trovato un bug “estremamente critico” che permetteva loro di gonfiare artificialmente il loro saldo sulla nostra piattaforma”.

Percoco ha dichiarato che dopo ulteriori indagini, hanno scoperto un bug isolato che ha concesso al cattivo attore privilegi significativi, consentendo loro di avviare un deposito su Kraken e ricevere fondi sul proprio conto anche senza completare il deposito. La vulnerabilità, originata dopo una recente modifica alla UX su Kraken, ha consentito all'aggressore di "stampare risorse" nel proprio account Kraken. Kraken ha dichiarato che il difetto è stato corretto e che nessun fondo del cliente è stato compromesso. Kraken ha affermato che un'ulteriore indagine ha rivelato che il ricercatore di sicurezza aveva condiviso il bug con due colleghi, che lo avevano utilizzato per ottenere ingenti fondi in modo fraudolento. 

CertiK si identifica come ricercatore sulla sicurezza

Ora, la società di sicurezza blockchain CertiK si è identificata come il ricercatore di sicurezza che Kraken sostiene di aver rubato risorse digitali per un valore di 3 milioni di dollari. In un post su X, CertiK ha dichiarato di aver informato Kraken di un exploit che gli ha permesso di rimuovere milioni dai conti dell'exchange. 

“CertiK ha recentemente identificato una serie di vulnerabilità critiche nell’exchange @krakenfx, che potrebbero potenzialmente portare a perdite per centinaia di milioni di dollari. Dopo la scoperta, abbiamo informato Kraken, il cui team di sicurezza lo ha classificato come Critico: il livello di classificazione più grave di Kraken."

La società di sicurezza blockchain ha affermato che il team delle operazioni di sicurezza di Kraken ha minacciato i dipendenti di CertiK. 

"Dopo le prime conversioni riuscite nell'identificazione e risoluzione della vulnerabilità, il team operativo di sicurezza di Kraken ha MINACCIATO i singoli dipendenti di CertiK di rimborsare una quantità NON CORRETTA di criptovalute in un tempo IRRAGIONEVOLE anche SENZA fornire indirizzi di rimborso. Nello spirito di trasparenza e nel nostro impegno nei confronti della comunità Web3, lo renderemo pubblico per proteggere la sicurezza di tutti gli utenti. Esortiamo [Kraken] a cessare qualsiasi minaccia contro gli hacker white hat."

CertiK ha anche pubblicato una cronologia degli eventi, iniziando con l'identificazione dell'exploit il 5 giugno e terminando con Kraken che minacciava i dipendenti di CertiK il 18 giugno. La società di sicurezza ha aggiunto che avrebbe anche trasferito i fondi su un conto a cui Kraken avrebbe potuto accedere. 

Comunità crittografica che supporta Kraken 

Le reazioni di molti nella comunità crittografica sembravano favorire Kraken, sostenendo che le azioni di CertiK non erano in linea con il modo in cui si sarebbero comportati gli hacker white hat. Tuttavia, non è chiaro se Kraken abbia intenzione di intraprendere un’azione legale o abbia motivo di farlo. 

“Certik ha appena ammesso di essere la società di sicurezza che ha derubato Kraken e sta cercando di estorcergli un compenso maggiore. Considerando la frequenza con cui gli audit Certik vengono violati e ora questo, è assurdo che esistano ancora. Un vero e proprio criminale”.

CertiK ha precedentemente identificato vulnerabilità significative nel Wormhole Bridge e nell'app Telegram. L’azienda aveva riferito che nel 2023 circa 1 miliardo di dollari in risorse digitali erano andati persi a causa di attività illegali.

Dichiarazione di non responsabilità: questo articolo è fornito solo a scopo informativo. Non sono offerti né sono destinati a essere utilizzati come consulenza legale, fiscale, di investimento, finanziaria o di altro tipo.