Kraken conferma la restituzione dei fondi da parte del white hat hacker di CertiK
L’exchange di criptovalute Kraken ha dichiarato di aver recuperato i suoi soldi dai “ricercatori di sicurezza” che hanno prelevato 3 milioni di dollari dalla piattaforma, durante un’operazione di hack etico. Sembra quindi essersi risolta una vicenda la quale aveva destato non poco clamore e spinto l’azienda a rivolgersi alle forze dell’ordine. L’accusa era in effetti molto grave, ovvero un tentativo di estorsione.
Questo il contenuto del messaggio affidato a X da Nick Percoco, il responsabile per la sicurezza dell’exchange: “Aggiornamento: ora possiamo confermare che i fondi sono stati restituiti (meno una piccola somma persa a causa delle commissioni)”. Tutto chiarito? Non proprio.
Kraken ha riavuto i suoi fondi
La vicenda in questione ha riservato non pochi colpi di scena. Nonostante Kraken si sia inizialmente rifiutato di identificare i colpevoli, nella giornata di mercoledì gli esperti di sicurezza blockchain di CertiK si sono infatti dichiarati responsabili dell’hacking. O meglio, di white hat hacking, quindi un’operazione di carattere etico.
Percoco, a sua volta, ha rivelato che Kraken aveva recentemente corretto un bug che consentiva a individui tecnicamente evoluti di gonfiare artificialmente il proprio saldo sulla piattaforma, conferendogli l’opportunità di sottrarre qualsiasi somma di denaro dalla tesoreria dell’exchange. Un bug disponibile dal mese di gennaio.
Gli esperti di CertiK hanno informato lo scambio della vulnerabilità a giugno, ma non prima di aver prelevato 3 milioni di dollari dalla piattaforma, come dimostrazione. Ancora Percoco ha chiarito che il problema è stato risolto nel giro di poche ore e non dovrebbe più ripresentarsi. Per poi aggiungere che il denaro dei clienti non è mai stato a rischio.
I dubbi permangono, non solo da parte di Kraken
Sebbene CertiK abbia caratterizzato le sue azioni come un’operazione “white hat”, quindi tesa a contribuire a rafforzare la sicurezza di Kraken, il modo in cui la società ha condotto le sue azioni ha destato non pochi dubbi. Espressi non solo da Kraken, ma dalla più ampia comunità crittografica.
Sotto accusa è il mancato rispetto delle procedure standard del programma Whitehat Bounty di Kraken. A partire dalla mancata restituzione immediata di tutti i fondi una volta rubati e il furto di un quantitativo molto elevato di denaro, più del necessario, per dimostrare la vulnerabilità.
Quando è stato chiesto di restituire i fondi, CertiK ha infatti rifiutato esplicitamente, almeno sino a quando non fosse stata fornita una stima di quanto denaro sarebbe stato a rischio nel caso in cui la società non avesse identificato la vulnerabilità.
Su questo punto le ricostruzioni divergono. CertiK, infatti, ha affermato di aver costantemente assicurato Kraken sulla restituzione dei fondi. Questa la contestazione di CertiK su X: “Il team operativo di sicurezza di Kraken ha minacciato singoli dipendenti di CertiK chiedendo di rimborsare una quantità di criptovalute non corrispondente in un tempo irragionevole, anche senza fornire indirizzi di rimborso”.
Le spiegazioni di CertiK
Nella giornata di ieri, CertiK ha confermato che tutti i fondi sono tornati al suo legittimo proprietario, anche se in un importo in criptovalute diverso da quello richiesto da Kraken. Ha inoltre giustificato la portata del suo attacco affermando che era necessario per testare la capacità degli allarmi e dei controlli dei rischi di Kraken.
La società ha poi aggiunto: “Non abbiamo mai menzionato alcuna richiesta di ricompensa. È stato Kraken a menzionarci per primo la loro taglia, mentre noi abbiamo risposto che la taglia non era l’argomento prioritario e volevamo assicurarci che il problema fosse risolto.”
Come si può notare, quindi, se la vicenda è risolta, restano forti i dubbi sui suoi reali contorni. I quali potrebbero però essere dissolti nel corso dei prossimi giorni. In caso contrario nessuna delle realtà coinvolte ne uscirebbe senza qualche danno d’immagine.