Biztech Italia – Notizie, guide e verifica dei fatti su tecnologia e criptovaluta

Menu
Notizie

Kraken accusa i ricercatori di sicurezza che non hanno restituito i 3 milioni di dollari sottratti durante l’exploit di bug di estorsione

Fabio SavelliBy 5 Mins Read
Kraken sagt, Hacker hätten sich der „Erpressung“ zugewandt, nachdem sie den Fehler für 3 Millionen US-Dollar ausgenutzt hatten

Punti chiave

  • L’exchange di criptovalute Kraken è pronto ad intraprendere un’azione penale contro i ricercatori di sicurezza che hanno portato via 3 milioni di dollari in criptovalute dal suo tesoro dopo aver segnalato una vulnerabilità. 
  • Il bug, segnalato il 9 giugno, avrebbe consentito agli utenti Kraken di gonfiare artificialmente il saldo del proprio conto, avviare un deposito e ricevere successivamente criptovalute nel proprio portafoglio senza completare completamente la transazione. 
  • Kraken afferma che il ricercatore ha informato prima i suoi stretti collaboratori del bug, che hanno ritirato segretamente milioni di criptovalute, e poi hanno presentato un reclamo. Ora si rifiutano di restituire i fondi senza vedere l’importo della taglia. 
  • L’exchange ha avviato una causa penale contro l’agenzia di sicurezza e sta collaborando con le forze dell’ordine per recuperare i propri beni di tesoreria. 

Il principale exchange di criptovalute Kraken ha rivelato che i “ricercatori di sicurezza” che hanno trovato una vulnerabilità sulla sua piattaforma si rifiutano di restituire asset digitali per un valore di 3 milioni di dollari prelevati dal suo tesoro. 

In una serie di post su X, Nick Percoco, responsabile della sicurezza di Kraken, ha spiegato come si è svolto l’evento. 

Gli hacker White Hat portano via 3 milioni di dollari dal tesoro di Kraken dopo aver segnalato un bug

Il 9 giugno, l’exchange di criptovalute ha ricevuto una segnalazione anonima da un ricercatore di sicurezza blockchain su un bug nel suo sistema che avrebbe consentito agli utenti di gonfiare artificialmente il proprio saldo. Questo difetto “nelle giuste circostanze” consente a un utente malintenzionato di avviare un deposito sull’exchange e ricevere fondi sul proprio conto senza completare completamente la transazione. 

Non appena il bug è stato segnalato, il team di sicurezza di Kraken ha scoperto e risolto il problema. Perococo ha osservato che nessun fondo degli utenti è stato interessato. Tuttavia, è stato ciò che è accaduto dopo a lasciare sbalordito il team dell’exchange. 

Apparentemente, dopo aver scoperto il bug, il ricercatore di sicurezza ha condiviso le informazioni con due associati. Si scopre che invece di presentare una segnalazione di bug bounty a Kraken in prima istanza, il ricercatore ha utilizzato la falla per accreditare il proprio account Kraken in criptovalute e poi ha lavorato con i colleghi per prelevare circa 3 milioni di dollari in criptovalute dal tesoro dell’exchange. 

La segnalazione di bug iniziale inviata non menzionava le transazioni effettuate dalle altre due persone, ma quando Kraken ha chiesto loro maggiori dettagli e di restituire i fondi, hanno rifiutato. 

Perococo ha affermato che i ricercatori sulla sicurezza hanno invece chiesto a Kraken di fornire loro una somma ipotizzata per i potenziali danni che il bug avrebbe potuto causare se non lo avessero scoperto. 

Kraken si rifiuta di pagare una ricompensa ai ricercatori di sicurezza per aver violato le regole

Il capo della sicurezza di Kraken ha condannato queste azioni come non etiche e criminali, affermando che la “licenza di hackerare” un’azienda di un ricercatore di sicurezza viene abilitata seguendo le regole del programma bug bounty a cui sta partecipando. 

“Ignorare queste regole ed estorcere all’azienda rende voi e la vostra azienda dei criminali”, ha scritto Perococo. 

I programmi di bug bounty vengono utilizzati da molte aziende crittografiche per testare la robustezza dei loro sistemi di sicurezza, incentivando al tempo stesso coloro che agiscono in buona fede. Invitano gli hacker di terze parti chiamati “white hats” a trovare le vulnerabilità in modo che possano essere riparate prima che un attore malintenzionato le sfrutti. 

Per ricevere una taglia da Kraken, il cappello bianco deve prima scoprire il problema, sfruttare l’importo minimo necessario per dimostrare il bug, restituire le risorse e fornire un rapporto completo sulla vulnerabilità. 

Kraken ha dichiarato in un post sul blog di essersi rifiutata di pagare la ricompensa ai ricercatori perché non hanno seguito le regole. 

Si ritiene che dietro l’exploit ci sia la società di sicurezza blockchain Certik 

Anche se il nome del cappello bianco non è stato rivelato, è opinione diffusa che si tratti della società di tecnologia di sicurezza blockchain Certik. 

Certik aveva precedentemente pubblicato sui suoi canali di social media di aver riscontrato diverse vulnerabilità su Kraken durante lo svolgimento di “test di più giorni”. Hanno avvertito che il bug potrebbe essere sfruttato per creare criptovalute per milioni di dollari. 

Il ricercatore di sicurezza on-chain ha scritto che milioni possono essere depositati sul conto di qualsiasi utente Kraken e un’enorme quantità di “criptovalute fabbricate” del valore di oltre un milione di dollari può essere prelevata da quel conto e convertita in “criptovalute valide”. Certik ha espresso serie preoccupazioni sul fatto che la falla non sia riuscita ad attivare alcun avviso nei sistemi Kraken durante il periodo di test. 

Tuttavia, Certik ha riferito che le cose sono andate male dopo le discussioni iniziali con Kraken. In un post su X hanno affermato che il team operativo di sicurezza di Kraken ha minacciato i suoi dipendenti di rimborsare una quantità non corrispondente di criptovalute “in un tempo irragionevole” senza nemmeno fornire un indirizzo per il rimborso. 

Kraken ora tratta l’incidente come un crimine e sta collaborando con le forze dell’ordine per recuperare i fondi perduti. “Siamo delusi da questa esperienza”, ha detto ai media un portavoce dell’azienda. 

Più notizie: Bitcoin Scende Sotto I 65.000 Dollari Mentre Il Mercato Delle Criptovalute Crolla

Fabio Savelli è un giornalista e divulgatore scientifico italiano, esperto di economia e nuove tecnologie. Ha iniziato la sua carriera come redattore economico, per poi dedicarsi negli ultimi anni allo studio e all'approfondimento delle criptovalute e della blockchain. Autore di numerosi articoli e saggi sull'impatto rivoluzionario di Bitcoin e delle altre monete digitali, in cui analizza le potenzialità della prima criptovaluta decentrata e le sue applicazioni.

Add A Comment
Leave A Reply