In questo articolo parliamo di una storia incredibile: pochi giorni fa la società di revisione Certik ha individuato una falla nei sistemi di sicurezza dell'exchange di criptovalute Kraken che potrebbe portare ad un grave hack.
Dopo aver effettuato alcuni test per 3 giorni ed aver eseguito un attacco “white hack” del valore di 3 milioni di dollari, Certik ha contattato Kraken per informarlo del bug, ma inizialmente si è rifiutato di restituire immediatamente la somma rubata.
L'exchange di criptovalute ha immediatamente contattato le forze dell'ordine trattando la situazione come un procedimento penale, mentre la società di sicurezza crittografica insiste che si tratta di un tipico test di un "programma bounty". Ora i fondi sembrano essere stati restituiti.
Vediamo tutto nel dettaglio di seguito.
L'hacking da 3 milioni di dollari contro l'exchange di criptovalute Kraken: Certik è responsabile, ma si rifiuta di restituire i soldi
Questa storia inizia il 9 giugno 2024, quando l'exchange di criptovalute Kraken riceve una comunicazione informale da un "ricercatore di sicurezza" che afferma di aver scoperto una vulnerabilità sulla piattaforma che avrebbe potuto causare un hack su larga scala.
Come riportato in un tweet post mortem da Nick Percoco, Chief Security Officer di Kraken, il ricercatore aveva evidenziato una falla nei sistemi di sicurezza dei depositi (impossibili di distinguere i diversi stati di trasferimento interno), che consente agli utenti di gonfiare il proprio saldo e ritirare più monete di quelle effettivamente disponibili. L’exchange si è subito attivato per risolvere il problema, e in soli 47 minuti un team di esperti è riuscito a sistemare il bug.
Ecco quanto riportato da Percoco:
“Il bug ha consentito a un utente malintenzionato, nelle giuste circostanze, di avviare un deposito sulla nostra piattaforma e ricevere fondi sul proprio conto senza completare completamente il deposito. Sia chiaro, nessun patrimonio dei clienti è mai stato a rischio”
Aggiornamento sulla sicurezza Kraken:
Il 9 giugno 2024 abbiamo ricevuto un avviso relativo al programma Bug Bounty da un ricercatore di sicurezza. Inizialmente non sono stati divulgati dettagli, ma la loro e-mail affermava di aver trovato un bug "estremamente critico" che consentiva loro di gonfiare artificialmente il loro saldo sulla nostra piattaforma.
— Nick Percoco (@c7five) 19 giugno 2024
Fin qui tutto normale, tranne che la stessa società di sicurezza web3 dove lavora il ricercatore che ha contattato Kraken, prima di denunciare ufficialmente il bug, avrebbe effettuato diversi hack sulla piattaforma per un totale di 3 milioni di dollari.
Subito dopo la pubblicazione del post di Percoco, la nota società di revisione Certik si è subito assunta la responsabilità dell’accaduto e ha rivelato il suo ruolo cruciale nella vicenda.
Certik avrebbe “testato” i meccanismi di difesa di Kraken effettuando un attacco su larga scala e prelevando grandi quantità di token MATIC da 3 account diversi, ripulendo poi le tracce dei fondi attraverso il mixer Tornado Cash.
Come spiegato dal responsabile della sicurezza dell’exchange, dopo aver risolto il problema, Kraken ha chiesto a Certik di restituire i fondi, ma lei inizialmente ha rifiutato.
Nonostante ciò, Certik insiste che la sua attività è in linea con i principi del “white hack”.
Apparentemente Certik non ha menzionato il ruolo dello sfruttatore degli account 3 nell'incidente, nonostante avesse eseguito i test di prelievo nei 3 giorni precedenti le comunicazioni con Kraken.
Il ricercatore di sicurezza che ha individuato il bug avrebbe chiesto una sostanziosa ricompensa per aver individuato una grave falla che avrebbe potuto implose in un pesante hack, ma Kraken ha insistito per riavere i propri fondi.
Poiché la società di revisione si è rifiutata di restituire il bottino, e anzi sembrava essersi mossa per nascondere le prove dell'hacking, l'exchange ha deciso di trattare la situazione come se si trattasse di un procedimento penale avvisando le autorità competenti e le forze dell'ordine.
La società di sicurezza web3 aveva chiesto all'exchange una ricompensa pari all'importo che si ipotizzava che questo bug avrebbe potuto causare se non fosse stato divulgato, facendo infuriare il team della piattaforma di exchange.
Percoco ha commentato sul suo profilo X l'accaduto, mostrando tutta la sua contrarietà verso il comportamento di Certik:
“Questo non è hacking bianco, questa è estorsione”.
Non riveleremo questa società di ricerca perché non meritano il riconoscimento per le loro azioni. Stiamo trattando questo come un procedimento penale e ci stiamo coordinando di conseguenza con le forze dell'ordine. Siamo grati che questo problema sia stato segnalato, ma è lì che finisce quel pensiero.
— Nick Percoco (@c7five) 19 giugno 2024
La smentita di Certik: fondi restituiti nonostante alcuni dipendenti avessero ricevuto minacce dal team Kraken
Certik, dopo essersi presentata come la società incaricata di individuare la falla nei sistemi di deposito, ha subito smentito quanto riportato da Kraken, evidenziando il suo ruolo di “white hack” e le sue intenzioni positive.
La società ha rivelato di aver organizzato un hack su larga scala, per un importo di 3 milioni di dollari, al solo scopo di testare la difesa dell'exchange, ma ha anche sottolineato di non essersi mai rifiutata di restituire il bottino ma di volersi piuttosto assicurare che tutto è stato eseguito correttamente.
Certik si è detta stupita dal potenziale impatto negativo che il bug avrebbe potuto causare, ma soprattutto dal fatto che gli allarmi del Kraken non sono mai stati attivati. Questo è stato affermato in un post:
“Milioni di dollari possono essere depositati su QUALSIASI conto Kraken. Un'enorme quantità di criptovalute (del valore di oltre 1 milione di dollari) può essere prelevata dal conto e convertita in criptovalute valide. Peggio ancora, durante il periodo di test di più giorni, non è stato attivato alcun avviso”.
Inoltre la società di audit ha spiegato che un membro del team di scambio aveva minacciato il proprio ricercatore di restituire l'importo entro un termine irragionevole (6 ore) senza però fornire un indirizzo per il rimborso.
Ciò è avvenuto dopo che, giorni dopo l’hacking, le due società hanno avuto una telefonata per cercare di trovare una soluzione e risolvere la questione.
CertiK ha recentemente identificato una serie di vulnerabilità critiche nell’exchange @krakenfx che potrebbero potenzialmente portare a perdite per centinaia di milioni di dollari.
A partire da una scoperta nel sistema di deposito di @krakenfx in cui potrebbe non riuscire a distinguere tra diversi interni... pic.twitter.com/JZkMXj2ZCD
— CertiK (@CertiK) 19 giugno 2024
A quanto pare, a scatenare il caos è stata l'entità della taglia proposta da Kraken, che non è stata ritenuta adeguata allo sforzo compiuto e al potenziale exploit sventato. Come riportato da un portavoce di Kraken a Coindesk:
“Abbiamo coinvolto questi ricercatori in buona fede e, in linea con un decennio di gestione di un programma di bug bounty, abbiamo offerto una ricompensa considerevole per i loro sforzi. Siamo delusi da questa esperienza e ora stiamo lavorando con le forze dell’ordine per recuperare i beni di questi ricercatori di sicurezza”.
Oggi Certik ha pubblicato un altro post con alcune FAQ per chiarire ulteriormente la propria posizione e fugare ogni dubbio.
La società di sicurezza ribadisce di aver “costantemente” confermato che restituirà la somma rubata, e precisa che ora tutti i fondi sono tornati nelle mani di Kraken.
Tali fondi sono stati rispediti al mittente in 734.19215 ETH, 29.001 USDT e 1021.1 XMR, mentre l'exchange aveva espressamente richiesto di inviare 155818.4468 MATIC, 907400.1803 USDT, 475.5557871 ETH e 1089.794737 XMR, per un controvalore complessivo superiore di circa 100.000 dollari .
Domande e risposte sulle recenti operazioni whitehat di CertiK-Kraken:
1. Qualche utente reale ha perso fondi?
No. Le criptovalute sono state coniate dal cielo e nessun asset di un vero utente Kraken è stato direttamente coinvolto nelle nostre attività di ricerca.
2. Ci siamo rifiutati di restituire i fondi?
No. Nella nostra comunicazione con...
— CertiK (@CertiK) 20 giugno 2024
Kraken resta ferma sul suo concetto etico di “white hacking” e sostiene che il bullismo messo in atto da Certik possa essere identificato come estorsione.
Il programma Bounty dell'exchange richiede infatti che terze parti trovino il problema, sfruttino la quantità minima necessaria per testare il bug (senza eseguire un hack da 3 milioni di dollari), restituiscano le risorse e forniscano dettagli sulla vulnerabilità.