Secondo diversi esperti di sicurezza crittografica, il bug che Kraken ha dichiarato di aver risolto è stato utilizzato per sfruttare altri scambi centralizzati già il mese scorso.

Questo è l’ultimo sviluppo della saga di due importanti operatori di criptovaluta, l’exchange statunitense Kraken e il revisore dei conti CertiK.

Mercoledì, Kraken ha dichiarato di aver corretto un bug "critico" che consentiva di prelevare erroneamente milioni di dollari in criptovalute dall'exchange con sede negli Stati Uniti.

CertiK è stata criticata dopo aver ammesso di essere dietro l'exploit di quel bug. L’azienda ha ritirato 3 milioni di dollari da Kraken in diversi giorni all’inizio di giugno.

Dopo un pubblico scambio di battute, CertiK ha restituito tutti i fondi prelevati e ha definito le sue azioni un'operazione white-hat, nel senso che apparentemente hanno agito come hacker etici con l'intenzione di identificare e correggere le vulnerabilità della sicurezza anziché sfruttarle per scopi dannosi.

I record Onchain identificati per la prima volta dalla piattaforma di sicurezza Hexagate e confermati a DL News da numerosi altri ricercatori sulla sicurezza, mostrano che un hacker ha tentato di sfruttare altri scambi di criptovalute - Binance, OKX, BingX e Gate.io - utilizzando lo stesso bug già il 17 maggio.

Questi tentativi sono avvenuti tre settimane prima che CertiK dichiarasse di aver trovato il bug su Kraken il 5 giugno.

"Non abbiamo prove che questi scambi siano stati influenzati", ha pubblicato Hexagate su X. "Abbiamo solo rintracciato prove onchain di attività simili."

Gli scambi di criptovalute centralizzati detengono una quantità gigantesca di criptovalute per conto dei loro clienti. Secondo i dati di DefiLlama, i primi cinque exchange di criptovalute che hanno reso pubblici gli indirizzi dei loro portafogli detengono un valore complessivo di criptovalute pari a 172 miliardi di dollari.

CertiK non ha risposto immediatamente alla richiesta di commento di DL News.

Tentativi exploit

I dati evidenziati da Hexagate mostrano che un hacker ha tentato di utilizzare un cosiddetto attacco "revert" per ingannare gli scambi centralizzati e consentire loro di prelevare fondi.

Per fare ciò, l’hacker ha creato uno smart contract che contiene una transazione per depositare fondi su un exchange centralizzato. Il contratto è progettato in modo tale che la transazione principale abbia esito positivo ma il deposito venga ripristinato.

Ciò induce l’exchange a pensare che un utente abbia depositato fondi quando non lo ha fatto. L'hacker richiede quindi un prelievo dall'exchange, addebitando l'importo del deposito falso.

I registri di Onchain mostrano diversi tentativi di utilizzare tale contratto durante il deposito di fondi su Binance su BNB Chain il 17 maggio.

Tra il 29 maggio e il 5 giugno, lo stesso indirizzo, così come un altro da esso finanziato, hanno effettuato tentativi simili su OKX, BingX e Gate.io su BNB Chain, Arbitrum e Optimism.

CertiK è coinvolto?

Sebbene CertiK abbia rivelato per la prima volta pubblicamente l’attacco di ripristino, non ci sono prove che fosse coinvolto in quegli attacchi precedenti.

Ciascuna funzione dei contratti intelligenti ha un cosiddetto hash di firma con cui può essere identificata.

Nel caso del contratto di revert attack, l’hash della firma non è disponibile, il che significa che il nome della funzione non è pubblicamente noto, ha detto a DL News un ricercatore di sicurezza che desidera rimanere anonimo.

Ciò significa che il nome della funzione per l'attacco di ripristino è noto a CertiK o che anche qualcun altro ha usato esattamente lo stesso nome, ha detto il ricercatore.

Tim Craig è il corrispondente DeFi di DL News con sede a Edimburgo. Contattalo con suggerimenti a tim@dlnews.com.