Skip to main content
Hacker white hat criptovalute

Kraken, gli hacker white hat ora si rifiutano di restituire tre milioni sottratti all’exchange

Nick Percoco, il principale responsabile della sicurezza dell’exchange di criptovalute Kraken, ha rivelato che un gruppo di hacker white-hat si è rifiutato di restituire risorse digitali per un valore di circa 3 milioni di dollari, sottratte alla piattaforma sfruttando un bug nel suo sistema.

La rivelazione è stata affidata a X, ex Twitter, con una serie di post, dallo stesso Percoco. È stato proprio lui a rendere noto come i ricercatori sulla sicurezza chiedono che l’exchange di criptovalute fornisca una determinata quantità di denaro, di cui non è stato rivelato l’importo, per non rivelare pubblicamente la falla del suo sistema.

Kraken alle prese con un tentativo di estorsione da parte di hacker white hat

Stando alla ricostruzione di Percoco, un ricercatore di sicurezza ha inviato un avviso del programma Bug Bounty a Kraken, il 9 giugno. La comunicazione era relativa all’individuazione di un bug “estremamente critico”, tale da consentire agli utenti di gonfiare artificialmente il proprio saldo sulla piattaforma.

Nonostante le tante segnalazioni false arrivate all’interno del programma, l’exchange ha deciso di prendere sul serio il reclamo e ha riunito di conseguenza un team al fine di indagare sul problema.

La squadra raccolta per l’occasione ha in effetti riscontrato un bug il quale rendeva possibile ai criminali informatici l’avvio di depositi su Kraken e la ricezione di fondi sui propri conti, senza però dover completare i depositi.

In pratica, la falla riscontrata non mette a rischio i fondi dei clienti, ma consente agli utenti malintenzionati di stampare risorse nei propri conti. Per poi concludere l’operazione effettuando prelievi dalla tesoreria di Kraken.

Problema risolto? Tutt’altro

Il problema è stato quindi risolto in meno di due ore dall’identificazione. Il team ha infatti scoperto che il bug derivava da un difetto nell’ultima esperienza utente (UX) di Kraken. Nelle successive indagini, però, l’exchange si è trovato di fronte ad una sorpresa: tre utenti avevano già sfruttato la falla. Uno degli account era collegato a un utente il quale affermava di essere un ricercatore di sicurezza.

Scavando a fondo, è poi emerso che proprio questo ricercatore è stato il primo a individuare il bug. Pensando bene di sfruttarlo per accreditarsi quattro milioni di dollari in criptovalute sul proprio account, senza segnalare il rinvenimento al team preposto. E, ancora, ha informato due suoi colleghi, che sono a loro volta passati all’incasso per somme maggiori. Insieme, hanno in seguito ritirato circa tre milioni di dollari in criptovalute dai conti incriminati.

Kraken ha naturalmente contattato i ricercatori al fine di chiedere loro un resoconto delle proprie attività e la restituzione dei beni ritirati. Trovandosi però di fronte a un rifiuto. La beffa è stata completata dall’accusa rivolta alla piattaforma di irragionevolezza e scarsa professionalità. Infine, hanno chiesto all’azienda di fornire una stima dei danni che il bug avrebbe potuto causare.

Lo stesso Percoco ha puntualizzato che Kraken ha affrontato il caso con le forze dell’ordine, trattandosi con tutta evidenza di un caso di estorsione. Questa la sua dichiarazione, al proposito: “Trattiamo questo come un procedimento penale e ci stiamo coordinando di conseguenza con le forze dell’ordine. Siamo grati che questo problema sia stato segnalato, ma questo è dove finisce il nostro pensiero.” Il sottinteso è abbastanza evidente: la palla passa ora alle forze dell’ordine e alla magistratura.

Hacker white hat, cosa sono e a cosa servono

Per hacker white hat si intendono quegli specialisti che conducono i loro raid informatici a scopi etici. Di solito si mettono al servizio delle aziende incaricandosi di testare e verificare le vulnerabilità della sicurezza e, di conseguenza, porre rimedio a eventuali bugs riscontrati.

Il loro modus operandi, teso a dare risposte al committente, prevede la conduzione di esperimenti, indicati con il termine di “pen test”. In buona sostanza si tratta di simulare veri e propri attacchi informatici ai sistemi aziendali, i quali prevedono metodi identici a quelli degli hacker veri e propri. Un novero in cui rientrano ad esempio il phishing, il social engineering e gli attacchi DDoS.

Come è stato possibile verificare in questa occasione, però, il confine tra le due categorie di hacker può rivelarsi molto sottile. Generando situazioni come quella con cui sta combattendo Kraken, in questo frangente.

hacker white hat, Kraken


Avatar photo

Dario Marchetti

Sono laureato in Lettere e Filosofia con una tesi sul confine orientale d'Italia alla fine della Prima Guerra Mondiale. Scrivo per il web dal 2010, sui più svariati settori, tra cui tecnologia, criptovalute, motori ed economia.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *