Kraken, uno dei più grandi scambi di criptovalute al mondo, ha accusato un trio di ricercatori di sicurezza di aver scoperto un bug critico, di averlo sfruttato per rubare milioni in contanti digitali, quindi di utilizzare i fondi rubati per estorcere di più all’exchange.
L’exchange ha scritto ieri sul problema, affermando che l’exploit ha consentito ad alcuni utenti “di aumentare artificialmente il valore del saldo del proprio conto Kraken senza completare completamente un deposito”. Nicholas Percoco, capo della sicurezza di Kraken, ha dichiarato su X che i ricercatori non hanno fornito alcun dettaglio nel loro rapporto sul bug bounty, ma che il suo team ha scoperto il bug entro un’ora.
Secondo Percoco, il problema deriva da una recente modifica alla UX che accrediterebbe i conti dei clienti prima che le risorse venissero effettivamente liquidate per creare un senso artificiale di scambi di criptovaluta in tempo reale. “Questa modifica alla UX non è stata testata a fondo contro questo specifico vettore di attacco”, ha ammesso Percoco su X.
La semplice segnalazione del bug sarebbe stata sufficiente per ottenere una ricompensa considerevole, ha aggiunto Percoco. Il ricercatore che ha rivelato la vulnerabilità, che Kraken non ha nominato “perché non rispettavano alcun [bug bounty] aspettative del settore”, tuttavia, non si è fermata qui.
Secondo Percoco, l’analista dietro la scoperta l’ha condivisa con un paio di colleghi, che hanno poi sfruttato la vulnerabilità per prelevare quasi 3 milioni di dollari dalla piattaforma. Kraken ha notato che i fondi rubati in questo modo provenivano dalla tesoreria Kraken e non erano beni dei clienti.
Dato che questo è il mondo delle criptovalute, la corsa sfrenata non si è fermata al furto di milioni.
Percoco ha affermato che i ricercatori si sono rifiutati di fornire un resoconto completo della loro attività relativa all’exploit, di dimostrare una prova di concetto o di restituire i fondi ritirati tramite la vulnerabilità.
“Invece, hanno chiesto una chiamata con il loro team di sviluppo aziendale… e non hanno accettato di restituire alcun fondo finché non forniamo una stima [dollar] quantità che questo bug avrebbe potuto causare se non lo avessero rivelato,” ha detto Percoco. “Questo non è hacking white-hat, è estorsione!”
Kraken non ha risposto alle domande di Il Reg per questa storia.
“Stiamo trattando questo come un caso penale e ci stiamo coordinando di conseguenza con le forze dell’ordine”, ha aggiunto Percoco. “Siamo grati che questo problema sia stato segnalato, ma è qui che finisce il pensiero”.
I ricercatori reagiscono
Kraken potrebbe non aver voluto nominare i ricercatori dietro il presunto tentativo di estorsione, ma i ricercatori stessi non stanno zitti: accusano Kraken di cattiva condotta.
La società di sicurezza blockchain statunitense CertiK ha dichiarato su X di essere la controparte in questa controversia e ha affermato che la conversazione è iniziata abbastanza bene finché il team di sicurezza di Kraken non ha risolto il problema.
“Dopo le prime conversioni riuscite nell’identificazione e risoluzione della vulnerabilità, il team operativo di sicurezza di Kraken ha MINACCIATO singoli dipendenti CertiK di rimborsare una quantità NON CORRETTA di criptovalute in un tempo IRRAGIONEVOLE anche SENZA fornire indirizzi di rimborso,” ha affermato CertiK su X.
CertiK ha anche affermato di essersi offerta di restituire i fondi e di non aver mai tentato di trattenerli, tuttavia, la comunità crittografica di X non è stata gentile con l’azienda. Un certo numero di intervistati ha affermato che i portafogli associati a CertiK sono stati catturati utilizzando mixer di criptovaluta autorizzati dagli Stati Uniti come TornadoCash e la piattaforma di scambio di criptovalute ChangeNOW, mentre altri hanno evidenziato quelle che sostengono fossero incoerenze con le divulgazioni pubbliche e i record di CertiK sulla blockchain.
Inoltre, mentre Percoco ha affermato che tutti i fondi sono stati restituiti, meno una parte che è andata persa a causa delle commissioni blockchain, diversi commentatori sostengono che l’importo che CertiK ha dichiarato di dover a Kraken era di decine di migliaia di dollari inferiore a quello che Kraken ha dichiarato essere stato rubato.
Il registro ha chiesto a un certo numero di persone di CertiK una spiegazione delle presunte incongruenze nel suo rapporto e di saperne di più sull’incidente, ma non hanno ricevuto risposta. ®