La comunità crittografica ha pesantemente criticato la società di sicurezza blockchain CertiK per i suoi problemi con l'exchange di criptovalute Kraken. Il 19 giugno, la società si è rivelata essere la società di “ricerca sulla sicurezza” Kraken ad aver attribuito un furto di risorse digitali per un valore di 3 milioni di dollari.
Leggi anche: Kraken rivela che un bug ha consentito ai "ricercatori di sicurezza" disonesti di sfruttare 3 milioni di dollari
Il responsabile della sicurezza di Kraken, Nick Percoco, aveva rivelato che un anonimo "ricercatore di sicurezza" aveva sfruttato un bug sull'exchange di criptovalute per rubare milioni di risorse digitali. Percoco ha continuato dicendo che il ricercatore si era rifiutato di restituire i fondi rubati e aveva invece scelto di estorcere lo scambio per una somma speculativa.
Kraken recupera i fondi rubati
Poche ore dopo la rivelazione di Kraken, CertiK ha dichiarato di aver informato Kraken dell’exploit che gli ha permesso di prelevare i fondi dai conti dell’exchange. L'azienda di sicurezza ha pubblicato una cronologia degli eventi e ha affermato che Kraken ha minacciato i suoi dipendenti. Ha dichiarato:
"Dopo le prime conversazioni di successo sull'identificazione e la risoluzione della vulnerabilità, il team operativo di sicurezza di Kraken ha MINACCIATO i singoli dipendenti di CertiK di rimborsare una quantità NON CORRETTA di criptovalute in un tempo IRRAGIONEVOLE anche SENZA fornire gli indirizzi di rimborso."
Cronologia dei problemi di CertiK con Kraken. (Fonte: CertiK)
Tuttavia, CertiK ha rivelato che trasferirà i fondi “rubati” su un conto a cui Kraken potrà accedere. Entro il 20 giugno Percoco confermò che Kraken aveva ricevuto tutti i fondi, meno le commissioni di transazione.
Le azioni di CertiK attirano critiche
Mentre Kraken festeggiava la correzione di un bug critico e il recupero dei fondi, CertiK si trova ora ad affrontare una raffica di critiche da parte della comunità crittografica per il suo ruolo negli eventi. Taylor Monahan, un esperto di sicurezza crittografica, si è chiesto perché la società di sicurezza blockchain abbia eseguito più di una transazione di prova per dimostrare l'esistenza della vulnerabilità.
Leggi anche: Kraken considera la rimozione dell'USDT dalla quotazione in risposta ai nuovi regolamenti UE
Inoltre, la comunità ha messo in dubbio il motivo per cui CertiK ha spostato alcuni fondi Kraken attraverso il mixer di criptovalute Tornado Cash, approvato dall'OFAC, e il suo utilizzo di ChangeNOW, uno scambio di criptovalute non custodito con processi di conoscenza dei clienti permissivi.
Tuttavia, CertiK insiste di aver preso la decisione giusta. L'azienda ha notato che il test è durato cinque giorni ed è stato su larga scala perché stava cercando di scoprire quanto fosse debole il sistema di sicurezza Kraken. Ha dichiarato:
“La vera domanda dovrebbe essere il motivo per cui il sistema di difesa approfondito di Kraken non è riuscito a rilevare così tante transazioni di prova. Questo è infatti ciò che stavamo testando. Hai spesso sentito parlare della risposta debole di un exchange alla scoperta di un bug di sicurezza vantandosi del loro forte controllo del rischio e del loro sistema di difesa approfondito (che secondo loro avrebbe impedito qualsiasi perdita significativa). CertiK lo ha messo alla prova con Kraken e hanno fallito miseramente.
Ha anche negato di aver mai chiesto una taglia e ha affermato di aver costantemente assicurato a Kraken il suo piano di restituire i fondi.
Reportage criptopolita di Oluwapelumi Adejumo