Dopo la perdita riportata di 3 milioni di dollari dai fondi di cassa della piattaforma di scambio Kraken, il revisore contabile di smart contract CertiK ha rivelato un’associazione con l’incidente.
La piattaforma di scambio ha cercato di recuperare immediatamente i fondi, ma ha fatto ricorso alle forze dell’ordine, citando un caso di estorsione.
CertiK condivide il suo punto di vista sulla perdita di Kraken
Il recente attacco con bug da 3 milioni di dollari della piattaforma di scambio Kraken è stato collegato alla società di revisione dei contratti smart CertiK, che ha confermato l’associazione. I ricercatori hanno scoperto una serie di vulnerabilità critiche che potrebbero potenzialmente portare a perdite per centinaia di milioni di dollari.
In seguito alla scoperta, i ricercatori hanno preso l’iniziativa di esplorare la vulnerabilità, con tre domande che hanno guidato la loro ricerca.
- Può un malintenzionato falsificare una transazione di deposito su un conto Kraken?
- Un malintenzionato può prelevare i fondi falsificati?
- Quali controlli di rischio e protezione degli asset potrebbero essere attivati da una richiesta di prelievo di grandi dimensioni?
Per saperne di più: Recensione Kraken 2024: Titoli e Caratteristiche
Secondo CertiK, la piattaforma di scambiare non ha superato tutti i test, il che ha portato a concludere che il “sistema di difesa approfondita di Kraken è compromesso su più fronti”.
“Secondo i risultati dei nostri test: La piattaforma di scambio Kraken non ha superato tutti i test, il che indica che il sistema di difesa approfondita di Kraken è compromesso su più fronti. Milioni di dollari possono essere depositati su QUALSIASI conto Kraken. Un’enorme quantità di criptovalute falsificate (del valore di oltre 1 milione di dollari) può essere ritirata dal conto e convertita in criptovalute valide. Peggio ancora, non è stato attivato alcun allarme durante il periodo di test di più giorni. Kraken ha risposto e bloccato gli account di prova solo giorni dopo che abbiamo riportato ufficialmente l’incidente”, si legge nel post.
CertiK ha presentato questi risultati a Kraken Exchange, il cui team di sicurezza li ha classificati come “critici”, il livello di classificazione più grave della piattaforma di scambio. Purtroppo, il tutto è culminato in un caso che ha richiesto il coinvolgimento delle forze dell’ordine.
“Il team di Kraken che si occupa di operazioni di sicurezza ha minacciato i singoli dipendenti di CertiK di rimborsare una quantità di criptovalute non corrispondente in un tempo irragionevole, anche senza fornire gli indirizzi per il rimborso. Il consenso verbale raggiunto durante il nostro incontro non è stato poi confermato. Infine, ci hanno accusato pubblicamente di furto e hanno persino minacciato direttamente i nostri dipendenti, il che è assolutamente inaccettabile”, ha dichiarato CertiK a BeInCrypto.
CertiK ha esortato Kraken a cessare le minacce contro la sua persona, definita “Whitehat hackers”. Il revisore contabile del contratto intelligente ha condiviso tutte le transazioni di deposito di prova. Ha pubblicizzato di aver spostato tutti i fondi su un conto accessibile presso Kraken.
Charles Guillemet, CTO di Ledger, produttore di portafogli hardware, ha riconosciuto che gli standard di sicurezza delle piattaforme di scambio centralizzate rimangono incoerenti. Ha anche osservato che il recente incidente dovrebbe servire a ricordare agli utenti che le piattaforme di scambio sono fatte per effettuare scambi, non per conservare criptovalute.
“Le principali piattaforme di scambio di criptovalute, includendo Kraken, hanno fatto un ottimo lavoro per migliorare la loro posizione di sicurezza. Tuttavia, l’asticella del titolo rimane disomogenea nel panorama delle piattaforme di scambio centralizzate. La natura stessa delle criptovalute e l’immutabilità della blockchain rendono il problema del titolo molto impegnativo. Le piattaforme di scambio dovrebbero segregare i portafogli e avere portafogli diversi per usi diversi. Dovrebbero inoltre implementare titoli di sicurezza organizzativi, rilevamento, allerta e così via”, ha dichiarato Guillemet a BeInCrypto.
Revisore contabile giudicato per un bug-attacco da 3 milioni di dollari
Nonostante gli sforzi di CertiK per illuminare la questione, la comunità crittografica ha criticato i ricercatori, accusandoli di negligenza. Un utente osserva che “il sentimento intorno a questa storia sarebbe stato più positivo se si fosse risolta amichevolmente con Kraken e se ne fosse parlato dopo”.
Il riassunto dello sviluppatore Uttam Singh sull’evento ridicolizza diversi aspetti che fanno pendere il caso ulteriormente contro CertiK. Sottolinea il fatto che i ricercatori hanno effettuato più transazioni e che hanno aspettato cinque giorni prima della divulgazione.
Secondo Meir Dolev, CTO di Cyvers, un indirizzo associato a Certik ha creato un contratto sulla rete Coinbase Layer-2 Base il 24 maggio. Ciò mette in dubbio l’affermazione di Certik secondo cui la vulnerabilità è stata scoperta il 5 giugno. Secondo quanto riportato, l’indirizzo sta testando anche OKX e Coinbase per vedere se esiste la stessa vulnerabilità di Kraken.
Per saperne di più: Le 5 principali falle nel titolo delle criptovalute e come evitarle
In base alle reazioni della comunità, il sentimento generale è che l’azione non sia stata una ricerca di titoli Whitehat, con il coinvolgimento dei social media che ha citato prove sul blockchain. Tuttavia, questo non ha fatto deragliare il round di finanziamento della Serie B3 di CertiK, che ha raccolto ben 88 milioni di dollari.
Tra i leader del round di finanziamento figurano Insight Partners, Tiger Global e Advent International. Hanno partecipato anche Goldman Sachs, Sequoia e Lightspeed Venture Partners. Si tratta del quarto round di capitali raccolti da CertiK in nove mesi, per un totale di 230 milioni di dollari.
Trusted
Dichiarazione di non responsabilità
Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo informativo generale. Qualsiasi azione intrapresa dal lettore in base alle informazioni contenute nel nostro sito web è strettamente a suo rischio e pericolo.
