Dopo la perdita di 3 milioni di dollari segnalata dalla tesoreria dell'exchange Kraken, il revisore dei contratti intelligenti CertiK ha rivelato un'associazione con l'incidente.
La piattaforma di trading ha cercato di recuperare immediatamente i fondi ma è ricorsa alle forze dell'ordine, citando un caso di estorsione.
CertiK condivide la prospettiva sulla perdita di Kraken
Il recente attacco bug da 3 milioni di dollari dell'exchange Kraken è stato collegato alla società di revisione dei contratti intelligenti CertiK, che ha confermato l'associazione. Hanno scoperto una serie di vulnerabilità critiche che potrebbero potenzialmente portare a perdite per centinaia di milioni di dollari.
Dopo la scoperta, i ricercatori hanno preso l’iniziativa di esplorare la vulnerabilità, ponendo tre domande alla base della loro ricerca.
- Un utente malintenzionato può falsificare una transazione di deposito su un conto Kraken?
- Un attore malintenzionato può ritirare fondi falsificati?
- Quali controlli del rischio e protezione patrimoniale potrebbero innescarsi da una richiesta di prelievo di grandi dimensioni?
Per saperne di più: Recensione Kraken 2024: sicurezza e funzionalità
Secondo CertiK, la piattaforma di trading non ha superato tutti i test, il che ha portato a concludere che "il sistema di difesa approfondita di Kraken è compromesso su più fronti".
"Secondo il risultato dei nostri test: lo scambio Kraken ha fallito tutti questi test, indicando che il sistema di difesa approfondito di Kraken è compromesso su più fronti. Milioni di dollari possono essere depositati su QUALSIASI conto Kraken. Un'enorme quantità di criptovalute fabbricate (del valore di oltre 1 milione di dollari) può essere prelevata dal conto e convertita in criptovalute valide. Peggio ancora, non è stato attivato alcun avviso durante il periodo di test di più giorni. Kraken ha risposto e bloccato gli account di prova solo giorni dopo aver segnalato ufficialmente l'incidente", si legge nel rapporto evidenziato in un post .
CertiK ha presentato questi risultati a Kraken Exchange , il cui team di sicurezza li ha classificati come “critici”, il livello di classificazione più serio sulla piattaforma di trading. Sfortunatamente, tutto è culminato in un caso che ha richiesto il coinvolgimento delle forze dell’ordine.
"Il team operativo di sicurezza di Kraken ha minacciato singoli dipendenti di CertiK di rimborsare una quantità non corrispondente di criptovalute in un tempo irragionevole, anche senza fornire gli indirizzi di rimborso. Il consenso verbale raggiunto durante il nostro incontro non è stato successivamente confermato. Alla fine, ci hanno accusato pubblicamente di furto e hanno persino minacciato direttamente i nostri dipendenti, il che è del tutto inaccettabile", ha detto CertiK a BeInCrypto.
CertiK ha esortato Kraken a cessare le minacce contro la sua identità, definita "hacker Whitehat". Il revisore dei contratti intelligenti ha condiviso tutte le transazioni di deposito di prova. Hanno aggiunto di aver trasferito tutti i fondi su un conto accessibile con Kraken.
Il revisore dei conti viene giudicato per un attacco di bug da 3 milioni di dollari
Nonostante gli sforzi di CertiK per far luce sulla questione, la comunità crypto ha criticato i ricercatori, denunciandoli per negligenza . Un utente osserva che "il sentimento attorno a questa storia sarebbe stato più positivo se fosse stato risolto in modo amichevole con Kraken e pubblicato in seguito."
Il riassunto dell'evento dello sviluppatore Uttam Singh ha ridicolizzato diversi aspetti che fanno pendere ulteriormente il caso contro CertiK. Sottolinea il fatto che i ricercatori hanno eseguito più transazioni e che hanno aspettato cinque giorni prima della divulgazione.
Secondo il CTO di Cyvers Meir Dolev, un indirizzo associato a Certik ha creato un contratto sulla rete Coinbase Layer-2 Base il 24 maggio. Ciò mette in dubbio l'affermazione di Certik secondo cui la vulnerabilità è stata scoperta il 5 giugno. Secondo quanto riferito, l'indirizzo sta anche testando OKX e Coinbase per vedere se esiste la stessa vulnerabilità di Kraken.
Per saperne di più: I 5 principali difetti nella sicurezza crittografica e come evitarli
Sulla base della reazione della comunità, il sentimento generale è che l’azione non era una ricerca sulla sicurezza di Whitehat, con il coinvolgimento dei social media che citava prove on-chain. Tuttavia, ciò non ha fatto deragliare il round di finanziamento della serie B3 di CertiK, che ha raccolto la bella cifra di 88 milioni di dollari.
Tra i leader nella tornata di finanziamenti ci sono Insight Partners, Tiger Global e Advent International. Hanno partecipato anche Goldman Sachs , Sequoia e Lightspeed Venture Partners. Degno di nota, ha segnato il quarto round di raccolta di capitale di CertiK in nove mesi, per un totale di 230 milioni di dollari.
Il post Ricercatori CertiK collegati all'attacco da 3 milioni di dollari di Kraken è apparso per la prima volta su BeInCrypto .