Kraken sostiene che CertiK era eccessivo, ma la società di sicurezza informatica insiste che fossero necessari ritiri su larga scala per accertare la portata del problema.
La settimana scorsa, Kraken ha annunciato che un bug critico aveva consentito ai ricercatori di sicurezza di gonfiare artificialmente il loro saldo e di ritirare quasi 3 milioni di dollari.
Aggiornamento sulla sicurezza Kraken: il 9 giugno 2024, abbiamo ricevuto un avviso del programma Bug Bounty da un ricercatore di sicurezza. Inizialmente non sono stati divulgati dettagli, ma la loro email affermava di aver trovato un bug "estremamente critico" che permetteva loro di gonfiare artificialmente il loro saldo sulla nostra piattaforma.
— Nick Percoco (@c7five) 19 giugno 2024
Ma c’era qualcosa di incredibilmente insolito nell’intero incidente, e finì per scatenare una guerra di parole tra l’exchange di criptovalute e un’importante azienda di sicurezza informatica.
Il responsabile della sicurezza di Kraken, Nick Percoco, ha dato il via alla situazione annunciando che era stata trovata una falla che consentiva ad autori malintenzionati di stampare fondi su un conto.
Ci sono voluti 47 minuti per mitigare il problema e alcune ore per risolverlo completamente. Finora, tutto ciò sembra abbastanza normale e di routine.
Ma Percoco ha intensificato ulteriormente le cose sostenendo che il ricercatore di sicurezza coinvolto aveva parlato della questione a due dei suoi colleghi, consentendo loro di prendere fondi aziendali per milioni.
Ha detto che Kraken ha chiesto dettagli su come è stato realizzato l'exploit e ha cercato di organizzare la restituzione completa dei fondi, ma ha affermato che lo scambio è stato rifiutato.
"Invece, hanno chiesto una chiamata al loro team di sviluppo aziendale (ovvero i loro rappresentanti di vendita) e non hanno accettato di restituire alcun fondo finché non avessimo fornito un importo in dollari ipotizzato che questo bug avrebbe potuto causare se non lo avessero rivelato. Questo non è hacking white-hat, è estorsione!”
Nick Percoco
Percoco ha continuato affermando che i ricercatori non avevano lavorato nello spirito del programma bug bounty perché avevano estratto molto più del necessario, non erano riusciti a fornire una prova di concetto e non avevano restituito i soldi immediatamente.
Allora cosa stava succedendo qui? Si trattava di un hacker dal cappello bianco che si stava dirigendo verso il lato oscuro? Qualcuno tiene Kraken in ostaggio? Una questione penale?
Potrebbe piacerti anche: Come acquistare monete prima che vengano elencate
CertiK fa un passo avanti
È qui che la storia prende una piega insolita. Si potrebbe supporre che l'exploit sia stato orchestrato da un adolescente brillante rinchiuso da qualche parte nella sua camera da letto. In realtà, è stato effettuato da CertiK, uno dei più grandi revisori nello spazio Web3.
Solo tre ore dopo il thread di Percoco su X, la società si è fatta avanti con la propria versione degli eventi.
CertiK ha recentemente identificato una serie di vulnerabilità critiche nell'exchange @krakenfx che potrebbero potenzialmente portare a perdite per centinaia di milioni di dollari. A partire da una scoperta nel sistema di deposito di @krakenfx in cui potrebbe non riuscire a distinguere tra diversi interni... pic.twitter.com/ JZkMXj2ZCD
— CertiK (@CertiK) 19 giugno 2024
Ha affermato che giorni e giorni di test non sono riusciti a far emergere alcun campanello d’allarme nei sistemi interni di Kraken, il che significa che il team di sicurezza dell’exchange è intervenuto solo dopo essere stato informato del difetto.
"Dopo le prime conversioni riuscite nell'identificazione e risoluzione della vulnerabilità, il team operativo di sicurezza di Kraken ha MINACCIATO i singoli dipendenti di CertiK di rimborsare una quantità NON CORRETTA di criptovalute in un tempo IRRAGIONEVOLE anche SENZA fornire indirizzi di rimborso."
CertiK
CertiK ha continuato esortando Kraken "a cessare qualsiasi minaccia contro gli hacker white hat".
Il giorno dopo, è seguito un thread in cui rispondeva alle domande sulla sua ricerca.
Domande e risposte sulle recenti operazioni whitehat di CertiK-Kraken: 1. Qualche utente reale ha perso fondi? No. Le criptovalute sono state coniate dal cielo e nessun patrimonio reale degli utenti Kraken è stato direttamente coinvolto nelle nostre attività di ricerca.2. Ci siamo rifiutati di restituire i fondi?No. Nella nostra comunicazione con...
— CertiK (@CertiK) 20 giugno 2024
Oltre a sottolineare che nessun cliente Kraken ha finito per perdere denaro, CertiK ha sottolineato di aver "costantemente assicurato" alla società che i soldi sarebbero stati restituiti, e così è stato. L'unico punto critico? Disaccordo su quanto fosse effettivamente dovuto lo scambio.
Nello spiegare perché ha scelto di sfruttare la falla su così larga scala, la società ha aggiunto:
“Vogliamo testare il limite della protezione e del controllo dei rischi di Kraken. Dopo numerosi test nel corso di più giorni e quasi tre milioni di criptovalute, non è stato attivato alcun avviso e non abbiamo ancora capito il limite."
CertiK
Leggendo tra le righe, sembra che CertiK volesse risposte da Kraken su quanto un vero truffatore avrebbe potuto finire per andarsene se avesse continuato ad andare avanti.
L’azienda di sicurezza informatica ha continuato sostenendo che un bug bounty era molto in fondo alla sua lista di priorità e che tutte le transazioni associate ai suoi test erano diventate di pubblico dominio.
Un'onnipotente guerra di parole
Su X c’è stato un bel po’ di disaccordo su chi ha ragione e chi ha torto.
La vera domanda dovrebbe essere perché hai sfruttato una quantità oscena come parte dei tuoi test in un ruolo in cui la fiducia è l’elemento più cruciale. Prendi la L e smetti di twittare senza consulenza legale.
— Vedi $LSS BULL (@crypto_seeb) 19 giugno 2024
3 milioni di dollari sono noccioline rispetto alla portata di un potenziale attacco informatico fallimentare. Double L di Kraken è diventato un problema pubblico invece di limitarsi a ringraziare Dio che gli anoni non lo hanno sfruttato.
– everhusk (@everhusk) 19 giugno 2024
L’argomentazione di CertiK si riduce a questa: era necessario effettuare prelievi astronomicamente grandi per verificare se qualcuno di essi sarebbe finito per essere segnalato dai sistemi interni di Kraken.
La disputa, che ora sembra essere stata risolta in superficie, evidenzia parte della tensione tra le imprese nel settore delle criptovalute e i ricercatori di sicurezza informatica incaricati di tenerle sotto controllo.
È necessario un maggiore accordo sulle regole di ingaggio? Ci sono mai casi in cui gli exploit su larga scala da parte degli hacker white hat sono giustificati, in quanto potrebbero impedire che qualcosa di più disastroso accada in un secondo momento?
Se ciò fosse accaduto alla rete Ronin, aiutando a prevenire uno dei più grandi furti di criptovalute di tutti i tempi che portò al furto di 625 milioni di dollari, probabilmente sosterresti che il furto temporaneo di pochi milioni di dollari sarebbe giustificato.
Non importa come lo guardi, questo incidente ricorda dolorosamente che i principali scambi potrebbero avere bug che devono ancora essere scoperti, mettendo a rischio gli investitori quotidiani che utilizzano queste piattaforme di trading per conservare i propri fondi.
Potrebbe interessarti anche: L'industria delle criptovalute può fidarsi di Trump?