CertiK, la società di sicurezza dei contratti intelligenti, continua a sostenere che le sue azioni contro l'exchange Kraken erano etiche e che stava cercando di stimare l'intera portata dei difetti di sicurezza. I tester affermano inoltre di aver restituito tutti i fondi in natura e di non aver estorto nulla a Kraken.
Il team CertiK ha sviluppato una nuova dichiarazione per confutare alcune precedenti affermazioni su Kraken. I tester hanno negato le richieste di ricompensa, affermando che la loro priorità era risolvere la vulnerabilità di poter stampare fondi su un conto.
Leggi: Kraken recupera 3 milioni di dollari mentre crescono le critiche contro Certik
Tutti i fondi prelevati provenivano dai portafogli freddi di Kraken e nessun account utente è stato interessato. Le monete sono state restituite in base ai calcoli e ai registri delle transazioni di CertiK.
Domande e risposte sulle recenti operazioni whitehat di CertiK-Kraken: 1. Qualche utente reale ha perso fondi? No. Le criptovalute sono state coniate dal cielo e nessun patrimonio reale degli utenti Kraken è stato direttamente coinvolto nelle nostre attività di ricerca.2. Ci siamo rifiutati di restituire i fondi?No. Nella nostra comunicazione con...
— CertiK (@CertiK) 20 giugno 2024
L'azione più controversa di CertiK includeva la registrazione dell'invio di fondi a Tornado Cash. Il miscelatore di monete è già stato sottoposto a sanzioni da parte del Dipartimento del Tesoro degli Stati Uniti, che vietava alle persone domiciliate negli Stati Uniti di interagire con esso.
CertiK è ben consapevole dell'utilizzo di Tornado Cash e ha incluso i trasferimenti come prova del suo exploit. In precedenza, CertiK ha anche monitorato l’utilizzo di Tornado Cash come parte di exploit precedenti. Uno dei focus principali di Certik rimane la verifica dei contratti intelligenti, che spesso contengono difetti logici simili che portano alla creazione illimitata di token.
L’approccio di CertiK all’hacking etico ha innervosito gli osservatori, poiché piccole somme sono state inviate direttamente a Tornado Cash per testare l’exploit. Alcuni passaggi del processo di test di Kraken sono trapelati sui social media prima che Kraken informasse finalmente della portata effettiva dell'exploit.
La questione della ricompensa per il bug non è stata discussa, ma CertiK continua a sostenere che non era necessaria una ricompensa per restituire i fondi. Finora, il team di sicurezza di Kraken non ha annunciato alcuna taglia per CertiK.
Kraken ammette di aver ricevuto tutti i fondi
CertiK ha generato saldi sulla piattaforma centralizzata Kraken ed ha eseguito prelievi per conto di tali conti.
Le affermazioni di Kraken secondo cui CertiK era impreciso nei suoi rendimenti sono state le più controverse. Tuttavia, questo è stato smentito pochi giorni dopo. Il responsabile della sicurezza di Kraken, Nick Percoco, ha annunciato che i fondi sono stati interamente restituiti meno le commissioni di transazione.
Aggiornamento: ora possiamo confermare che i fondi sono stati restituiti (meno un piccolo importo perso a causa delle commissioni). https://t.co/cHkjPt3m2A
— Nick Percoco (@c7five) 20 giugno 2024
La contabilità di CertiK riportava prelievi solo di ETH, USDT e XMR, mentre Kraken ha anche affermato che erano stati ritirati e mescolati anche 155.818,44 MATIC. I prelievi sono stati stimati a circa 3 milioni di dollari, anche se Certik ha utilizzato una piccola somma per dimostrare l’exploit.
Un'ulteriore analisi dell'exploit ha mostrato che CertiK ha generato saldi MATIC inesistenti, ma le transazioni sono fallite e nessun fondo ha lasciato i portafogli freddi Kraken. Il MATIC generato era solo un exploit interno che non ha comportato il trasferimento di token Polygon reali.
#Certik: A prima vista, sembra che l'exploit di Certik consista in:1. Creazione di un contratto e deposito di fondi in esso2. Generazione dell'evento LogFeeTransfer()3. @krakenfx scansiona LogFeeTransfer() sui suoi indirizzi di deposito e non sembra verificare se i MATIC sono davvero presenti pic.twitter.com/QI4bdXJdbz
— Naïm Boubziz (@BrutalTrade) 20 giugno 2024
In alcuni casi è possibile simulare la presenza di fondi, poiché altri protocolli sono stati attaccati con prestiti lampo.
CertiK ha affermato che gli exploit sono ripresi di nuovo a giugno, con oltre 30 milioni di dollari sottratti ad app e protocolli. Il conteggio non include gli attacchi contro i singoli portafogli.
Tornado Cash è ancora operativo anni dopo le sanzioni
Il mixer Tornado Cash continua a facilitare gli exploit, poiché i fondi non sono rintracciabili dopo essere passati attraverso il mixer. Anche dopo aver inserito portafogli e indirizzi nella lista nera, non c’è nulla che impedisca agli hacker di mescolare ETH e inviarlo a nuovi portafogli sconosciuti.
Leggi anche: Il gruppo dietro la causa Tornado Cash perde contro il Tesoro americano
Dal 2022 Tornado Cash dispone di risorse limitate, ma il servizio è ancora operativo.
Il fondatore di Tornado Cash, Alexey Pertsev, ha ricevuto una condanna nel maggio 2024, con potenziali anni dietro le sbarre. Eppure le sanzioni e i divieti non impediscono a nessuno di utilizzare il mixer, il che non pregiudica le giurisdizioni al di fuori degli USA.
Alcune monete, come USDC, hanno inserito nella lista nera tutti i contratti Tornado Cash. Eventuali fondi inviati al contratto non potranno essere nuovamente recuperati. L'USDC è noto anche per la sua capacità centralizzata di congelare le monete. Per Kraken, anche la possibilità di recedere a un indirizzo contrattuale Tornado Cash rappresentava una grave vulnerabilità. La maggior parte dei produttori di token sceglie di non esercitare il controllo sui token, lasciandoli vulnerabili al furto e irrecuperabili attraverso il mixaggio.
Reportage criptopolita di Hristina Vasileva