L'exchange Cripto Kraken ha affermato che i "ricercatori di sicurezza" che hanno riscontrato una vulnerabilità sulla piattaforma si sono rivolti all'"estorsione" dopo aver prelevato circa 3 milioni di dollari dalle casse dell'exchange.

Nick Percoco, responsabile della sicurezza di Kraken, ha dichiarato in un post sulla piattaforma di social media X (ex Twitter) che l'azienda ha ricevuto un avviso di "programma bug bounty" da un ricercatore di sicurezza il 9 giugno su una vulnerabilità che consente agli utenti di gonfiare artificialmente il proprio saldo . Il bug "ha consentito a un utente malintenzionato, nelle giuste circostanze, di avviare un deposito sulla nostra piattaforma e ricevere fondi sul proprio conto senza completare completamente il deposito", ha aggiunto Percoco.

Dopo aver ricevuto la segnalazione, Kraken ha risolto rapidamente il problema e i fondi degli utenti non sono stati interessati, ha osservato Percoco.

Ciò che è accaduto dopo ha sollevato campanelli d'allarme per la squadra di Kraken.

Il ricercatore di sicurezza, dopo aver trovato il bug, lo avrebbe rivelato ad altre due persone, che poi "fraudolentemente" avrebbero ritirato quasi 3 milioni di dollari dai loro conti Kraken. "Questo proveniva dalle tesorerie di Kraken, non da altri beni dei clienti", ha detto Percoco.

La segnalazione iniziale del bug T menzionava le transazioni degli altri due individui e quando Kraken chiese maggiori dettagli sulle loro attività, loro rifiutarono.

"Invece, hanno chiesto una chiamata al loro team di sviluppo aziendale (ovvero i loro rappresentanti di vendita) e non hanno accettato di restituire alcun fondo fino a quando non avremo fornito un importo in dollari ipotizzato che questo bug avrebbe potuto causare se non lo avessero rivelato. Questo non è bianco -hacking, è estorsione!" Ha scritto Percoco.

Kraken T ha rivelato chi fossero i ricercatori, ma l'editore di codice blockchain Certik ha successivamente dichiarato in un post sui social media di aver trovato diverse vulnerabilità nello scambio Cripto .

Certik ha affermato di aver condotto "test di più giorni" e ha notato che il bug potrebbe essere sfruttato per creare Cripto del valore di milioni di dollari. "Milioni di dollari possono essere depositati su QUALSIASI conto Kraken. Un'enorme quantità di Cripto fabbricate (del valore di oltre 1 milione di dollari) può essere prelevata dal conto e convertita in criptovalute valide. Peggio ancora, durante i test di più giorni non è stato attivato alcun avviso periodo", si legge nel post.

Tuttavia, Certik ha detto che le cose sono andate male dopo la conversazione iniziale con Kraken. "Il team delle operazioni di sicurezza di Kraken ha MINACCIATO singoli dipendenti di CertiK di rimborsare una quantità NON CORRETTA di Cripto in un tempo IRRAGIONEVOLE, anche SENZA fornire indirizzi di rimborso", ha aggiunto il post X.

I programmi bug bounty, utilizzati da molte aziende per rafforzare i propri sistemi di sicurezza, invitano gli hacker di terze parti, noti come "white hats", a trovare le vulnerabilità in modo che l'azienda possa risolverle prima che un attore malintenzionato le sfrutti. Il concorrente di Kraken, Coinbase, ha un programma simile per aiutare ad avvisare lo scambio di vulnerabilità.

Per essere pagato, il programma di Kraken richiede che una terza parte trovi il problema, sfrutti la quantità minima necessaria per dimostrare il bug, restituisca le risorse e fornisca i dettagli della vulnerabilità, ha detto Kraken in un post sul blog , aggiungendo che poiché i ricercatori sulla sicurezza T hanno Seguici queste regole, T riceveranno la taglia.

"Abbiamo coinvolto questi ricercatori in buona fede e, in linea con un decennio di gestione di un programma di bug bounty, abbiamo offerto una ricompensa considerevole per i loro sforzi. Siamo delusi da questa esperienza e stiamo ora lavorando con le forze dell'ordine per recuperare i dati risorse di questi ricercatori sulla sicurezza", ha detto a CoinDesk un portavoce di Kraken.

Continua a leggere: Il tuo progetto Cripto ha bisogno di uno sceriffo, non di un cacciatore di taglie

AGGIORNAMENTO (19 giugno, 18:30 UTC): aggiorna la storia per aggiungere i commenti di Certik.