TLDR
Kraken ha scoperto un bug che consentiva agli utenti di aumentare artificialmente i propri saldi e di prelevare fondi senza completare i depositi.
CertiK, un'azienda di sicurezza blockchain, si è identificata come il "ricercatore di sicurezza" che ha sfruttato il bug e ha prelevato quasi 3 milioni di dollari dalle tesorerie di Kraken.
Kraken sostiene che CertiK si è rifiutata di restituire i fondi finché l'exchange non abbia fornito una stima delle potenziali perdite, definendolo "estorsione".
CertiK ha difeso il proprio operato, affermando che stava testando la portata della vulnerabilità e che Kraken aveva minacciato i propri dipendenti di restituire una quantità di fondi non corrispondente entro un lasso di tempo irragionevole.
L'incidente ha scatenato un dibattito sull'etica dell'hacking white hat e dei programmi bug bounty nel settore delle criptovalute.
L'exchange di criptovalute Kraken ha recentemente rivelato di essere caduto vittima di una vulnerabilità di sicurezza che ha permesso agli utenti di gonfiare artificialmente i saldi dei loro conti e prelevare fondi senza completare completamente i depositi. L'exchange ha segnalato che quasi 3 milioni di $ sono stati rubati dalle sue tesorerie a seguito dell'exploit.
L'azienda di sicurezza blockchain CertiK si è fatta avanti, identificandosi come il "ricercatore di sicurezza" responsabile dello sfruttamento del bug e del prelievo dei fondi.
Il responsabile della sicurezza di Kraken, Nick Percoco, aveva precedentemente accusato il team di sicurezza, allora senza nome, di “estorsione” per essersi rifiutato di restituire i fondi finché l’exchange non avesse fornito una stima delle potenziali perdite se il bug non fosse stato divulgato.
Aggiornamento sulla sicurezza di Kraken:
Il 9 giugno 2024, abbiamo ricevuto un avviso del programma Bug Bounty da un ricercatore di sicurezza. Inizialmente non sono stati divulgati dettagli specifici, ma la loro e-mail sosteneva di aver trovato un bug "estremamente critico" che gli ha consentito di gonfiare artificialmente il loro saldo sulla nostra piattaforma.
— Nick Percoco (@c7five) 19 giugno 2024
CertiK, tuttavia, ha difeso il proprio operato, sostenendo di aver testato la portata della vulnerabilità e che Kraken aveva minacciato i propri dipendenti di restituire una quantità di fondi non corrispondente entro un lasso di tempo irragionevole, senza nemmeno fornire un indirizzo per il rimborso.
CertiK ha recentemente identificato una serie di vulnerabilità critiche nell'exchange @krakenfx che potrebbero potenzialmente causare perdite per centinaia di milioni di dollari.
Partendo da una scoperta nel sistema di deposito di @krakenfx, che potrebbe non riuscire a distinguere tra diversi... pic.twitter.com/JZkMXj2ZCD
— CertiK (@CertiK) 19 giugno 2024
L'azienda di sicurezza ha fornito una cronologia degli eventi, descrivendo dettagliatamente le sue interazioni con Kraken e la scoperta dell'exploit.
Secondo CertiK, la vulnerabilità ha consentito di depositare milioni di dollari su qualsiasi account Kraken, con la possibilità di prelevare e convertire le criptovalute fabbricate in criptovalute valide.
L'azienda ha inoltre affermato che non sono stati attivati avvisi durante il periodo di test durato più giorni e che Kraken ha risposto e bloccato gli account di prova solo pochi giorni dopo la divulgazione iniziale.
L'incidente ha scatenato un dibattito sull'etica dell'hacking white hat e sull'efficacia dei programmi bug bounty.
Mentre alcuni sostengono che le azioni di CertiK erano giustificate nell’interesse di testare a fondo la vulnerabilità, altri credono che l’azienda abbia oltrepassato il limite ritirando una somma di denaro così elevata e rifiutandosi di restituirla prontamente.
Kraken sostiene che le azioni di CertiK non sono in linea con i principi dell'hacking white hat e che sta lavorando con le forze dell'ordine per recuperare i beni. L'exchange ha anche sottolineato che nessun fondo utente è stato interessato dall'exploit, poiché il denaro rubato proveniva dalle tesorerie di Kraken.
Il post Bug Bounty andato male: Kraken accusa CertiK di estorsione, CertiK difende le sue azioni è apparso per la prima volta su Blockonomi.
