In questo articolo parliamo di una storia che ha dell’incredibile: pochi giorni fa la società di auditing Certik ha individuato una falla nei sistemi di sicurezza del crypto exchange Kraken tale da poter portare ad un grave hack.
Dopo aver condotto alcuni test per 3 giorni ed eseguito un attacco “white hack” da 3 milioni di dollari, Certik ha contattato Kraken per informarlo del bug, ma si è inizialmente rifiutata di restituire immediatamente la somma rubata.
Lo scambio in crypto ha contattato subito le forze dell’ordine trattando la situazione come un caso criminale, mentre la firma di sicurezza crittografica insiste sul fatto che si tratta di un test tipico di un “bounty program”. Ora i fondi sembrano essere stati restituiti.
Vediamo tutto nei dettagli di seguito.
Summary
L’hack di 3 milioni di dollari ai danni del crypto exchange Kraken: Certik è il responsabile, ma si rifiuta di restituire il denaro
Questa storia inizia il 9 giugno 2024, quando il crypto exchange Kraken riceve una comunicazione informale da parte di un “ricercatore di sicurezza” che afferma di aver scovato una vulnerabilità sulla piattaforma che avrebbe potuto causare un hack di grandi dimensioni.
Come riportato in un tweet post-mortem da parte di Nick Percoco, Chief Security Officer di Kraken, il ricercatore avrebbe evidenziato una falla nei sistemi di sicurezza dei depositi (incapace di distinguere diversi stati di trasferimento interno), che consente agli utenti di gonfiare il proprio bilancio e di prelevare più coins di quante ne abbiano realmente a disposizione. L’exchange si è subito movimentata per risolvere il problema, e in appena 47 minuti un team di esperti è riuscito a fixare il bug.
Ecco quanto riportato da Percoco:
“il bug ha permesso a un aggressore malintenzionato, nelle giuste circostanze, di avviare un deposito sulla nostra piattaforma e ricevere fondi sul proprio conto senza completare completamente il deposito. Per essere chiari, nessun asset dei clienti è mai stato a rischio”
Fin qui tutto nella norma, se non fosse che la stessa società di sicurezza web3 dove lavora il ricercatore che ha contattato Kraken, prima di comunicare ufficialmente il bug avrebbe messo a segno diversi hack sulla piattaforma per un totale di 3 milioni di dollari.
Subito dopo la pubblicazione del post di Percoco, la nota firma di auditing Certik si è subito presa la responsabilità dell’accaduto ed ha rivelato il proprio ruolo determinante nella faccenda.
Certik avrebbe “testato” i meccanismi di difesa di Kraken mettendo in atto un attacco su larga scala, e prelevando grandi quantità di token MATIC da 3 account differenti, per poi pulire la tracce dei fondi tramite il mixer Tornado Cash.
Come spiegato dal responsabile di sicurezza dell’exchange, dopo aver fixato il problema, Kraken ha chiesto a Certik di restituire i fondi, ma lei si è inizialmente rifiutata.
Nonostante ciò Certik insiste sul fatto che la sua attività è in linea con i principi “white hack”.
A quanto pare Certik non ha menzionato il ruolo dei 3 account exploiter nell’accaduto, pur avendo eseguito i test di prelievo nei 3 giorni precedenti alla comunicazioni con Kraken.
Il ricercatore di sicurezza che ha avvistato del bug, avrebbe chiesto un cospicuo bounty per aver individuato una grossa falla che sarebbe potuta implodere in un pesante hack, ma Kraken ha insistito sul fatto che rivoleva indietro i propri fondi.
Essendosi la società di auditing rifiutata di restituire il bottino, ed anzi sembrava essersi mossa per occultare le prove dell’hack, l’exchange ha deciso di trattare la situazione come se fosse un caso criminale avvertendo le autorità competenti e le forze dell’ordine.
La compagnia di sicurezza web3 aveva chiesto all’exchange un premio bounty pari all’importo speculato che questo bug avrebbe potuto causare se non fosse stato divulgato, facendo salire su tutte le furie il team della piattaforma di scambio.
Percoco ha commentato sul suo profilo X quando accaduto, mostrando tutta la sua contrarietà nei confronti del comportamento di Certik:
“Questo non è white hacking, questo è estersione”.
La smentita di Certik: fondi restituiti nonostante alcuni dipendenti abbiano subito minacce dal team di Kraken
Certik, dopo essersi presentata come la società responsabile di aver individuato la falla nei sistemi di deposito, ha subito smentito quanto raccontato da Kraken mettendo in evidenza il ruolo “white hack” e le proprie intenzioni positive.
La società ha rivelato di aver messo in piedi un hack di grandi dimensioni, per un importi di 3 milioni di dollari, solo nello scopo di testare la difesa dell’exchange, ma ha altrettanto sottolineato di non essere mai rifiutata di restituire il bottino ma piuttosto di volersi assicurare che tutto venisse eseguito correttamente.
Certik ha detto di essersi meravigliata del potenziale impatto negativo che il bug avrebbe potuto causare, ma soprattutto del fatto che gli allarmi di Kraken non sono mai stati triggerati.Questo quanto affermato in un post:
“Milioni di dollari possono essere depositati su QUALSIASI conto Kraken. Un’enorme quantità di cripto (del valore di oltre 1 M + USD) può essere prelevata dal conto e convertita in cripte valide. Peggio ancora, durante il periodo di test di più giorni non sono stati attivati avvisi”.
Inoltre la firma di auditing ha spiegato che un membro del team dell’exchange avrebbe minacciato un proprio ricercatore di restituire la somma entro un lasso di tempo poco ragionevole (6 ore) senza tuttavia fornire un indirizzo di repayment.
Questo si è svolto dopo che, a distanza di giorni dall’hack, le due società si sono sentite via call per cercare una soluzione e risolvere la faccenda.
A quanto pare ciò che ha scatenato il caos è stato l’importo del premio di bounty proposto da Kraken, che non è stato ritenuto consone allo sforzo effettuato e al possibile exploit prevenuto. Come infatti riportato da un portavoce di kraken a Coindesk:
“Abbiamo coinvolto questi ricercatori in buona fede e, in linea con un decennio di gestione di un programma di taglie di bug, avevamo offerto una taglia considerevole per i loro sforzi. Siamo delusi da questa esperienza e ora stiamo lavorando con le forze dell’ordine per recuperare i beni da questi ricercatori sulla sicurezza”.
Oggi Certik ha pubblicato un’altro post con delle FAQ per chiarire ulteriormente la propria posizione e togliere ogni dubbio.
La società di sicurezza ribadisce di aver “consistentemente” confermato che avrebbe restituito l’importo rubato, e afferma che ora tutti i fondi sono tornati in mano a Kraken.
Questi fondi sono stati inviati al mittente in 734.19215 ETH, 29,001 USDT e 1021.1 XMR, mentre l’exchange avrebbe richieste espressamente di inviare 155818.4468 MATIC, 907400.1803 USDT, 475.5557871 ETH e 1089.794737 XMR, per un controvalore totale maggiore di circa 100.000 dollari.
Kraken rimane ferma sul proprio concetto di etica del “white hacking” e sostiene che il bullismo messo in atto da Certik possa essere identificato come estorsione.
Il programma Bounty dell’exchange richiede infatti a terzi di trovare il problema, sfruttare l’importo minimo necessario per provare il bug (senza eseguire un hack da 3 milioni di dollari), restituire le risorse e fornire dettagli sulla vulnerabilità.
