CertiK spiega la posizione dell'hacking etico, Kraken ammette la restituzione completa dei fondi

CertiK, la società di sicurezza deitracintelligenti, continua a sostenere che le sue azioni contro lo scambio Kraken erano etiche e che stava cercando di stimare l’intera portata dei difetti di sicurezza. I tester affermano inoltre di aver restituito tutti i fondi in natura e di non aver estorto nulla a Kraken.  

Il team CertiK ha sviluppato una nuova dichiarazione per confutare alcune precedenti affermazioni di Kraken. I tester hanno negato le richieste di ricompensa, affermando che la loro priorità era risolvere la vulnerabilità di poter stampare fondi su un conto.  

Leggi: Kraken recupera 3 milioni di dollari mentre crescono le critiche contro Certik

Tutti i fondi prelevati provenivano dai portafogli freddi di Kraken e nessun account utente è stato interessato. Le monete sono state restituite in base ai calcoli e ai registri delle transazioni di CertiK.  

Domande e risposte sulle recenti operazioni whitehat di CertiK-Kraken:

1. Qualche utente reale ha perso fondi?
No. Le criptovalute sono state coniate dal nulla e le risorse di nessun utente reale Kraken sono state direttamente coinvolte nelle nostre attività di ricerca.

2. Ci siamo rifiutati di restituire i fondi?
No. Nella nostra comunicazione con...

— CertiK (@CertiK) 20 giugno 2024

L'azione più controversa di CertiK includeva la registrazione dell'invio di fondi a Tornado Cash . Il miscelatore di monete è già stato sottoposto a sanzioni da parte del Dipartimento del Tesoro degli Stati Uniti, che vietava alle persone domiciliate negli Stati Uniti di interagire con esso.

CertiK è ben consapevole dell'utilizzo di Tornado Cash e ha incluso i trasferimenti come prova del suo exploit. In precedenza, CertiK ha anche tracl’utilizzo di Tornado Cash come parte di exploit più vecchi. Uno dei focus principali di Certik rimane la verifica deitracintelligenti, che spesso contengono difetti logici simili che portano alla creazione illimitata di token.

L'approccio di CertiK all'hacking etico ha innervosito gli osservatori, poiché piccole somme sono state inviate direttamente a Tornado Cash per testare l'exploit. Alcuni passaggi del processo di test di Kraken sono trapelati sui social media prima che Kraken comunicasse finalmente l'effettiva portata dell'exploit.  

La questione della ricompensa per il bug non è stata discussa, ma CertiK continua a sostenere che non era necessaria una ricompensa per restituire i fondi. Finora, il team di sicurezza di Kraken non ha annunciato alcuna taglia per CertiK.  

Kraken ammette di aver ricevuto tutti i fondi

CertiK ha generato saldi sulla piattaforma centralizzata Kraken ed ha eseguito prelievi per conto di tali conti. 

Le affermazioni di Kraken secondo cui CertiK era impreciso nei suoi rendimenti sono state le più controverse. Tuttavia, questo è stato smentito pochi giorni dopo. Il responsabile della sicurezza di Kraken, Nick Percoco, ha annunciato che i fondi sono stati interamente restituiti meno le commissioni di transazione.  

Aggiornamento: ora possiamo confermare che i fondi sono stati restituiti (meno un piccolo importo perso a causa delle commissioni). https://t.co/cHkjPt3m2A

— Nick Percoco (@c7five) 20 giugno 2024

La contabilità di CertiK riportava prelievi solo di ETH, USDT e XMR, mentre Kraken ha anche affermato che erano stati ritirati e mischiati anche 155.818,44 MATIC . I prelievi sono stati stimati a circa 3 milioni di dollari, anche se Certik ha utilizzato una piccola somma per dimostrare l’exploit.  

Un'ulteriore analisi dell'exploit ha mostrato che CertiK ha generato saldi MATIC inesistenti, ma le transazioni sono fallite e nessun fondo ha lasciato i portafogli freddi Kraken. Il MATIC generato era solo un exploit interno che non ha comportato il trasferimento di token Polygon reali.  

#Certik : A prima vista, sembra che l'exploit di Certik consista in:
1. Creare un contratto trac depositarvi fondi
2. Generare l'evento LogFeeTransfer()
3. @krakenfx scansiona LogFeeTransfer() sui suoi indirizzi di deposito e non Non mi sembra di verificare se i MATIC siano davvero presenti pic.twitter.com/QI4bdXJdbz

— Naïm Boubziz (@BrutalTrade) 20 giugno 2024

In alcuni casi è possibile simulare la presenza di fondi, poiché altri protocolli sono stati attaccati con prestiti lampo. 

CertiK ha affermato che gli exploit sono ripresi di nuovo a giugno, con oltre 30 milioni di dollari sottratti ad app e protocolli. Il conteggio non include gli attacchi contro i singoli portafogli.

Tornado Cash è ancora operativo anni dopo le sanzioni

Il mixer Tornado Cash continua a facilitare gli exploit, poiché i fondi non sonotracdopo essere passati attraverso il mixer. Anche dopo aver inserito portafogli e indirizzi nella lista nera, non c’è nulla che impedisca agli hacker di mescolare ETH e inviarlo a nuovi portafogli sconosciuti.  

Leggi anche: Il gruppo dietro la causa Tornado Cash perde contro il Tesoro americano

Dal 2022 Tornado Cash dispone di risorse limitate, ma il servizio è ancora operativo. 

Il fondatore di Tornado Cash, Alexey Pertsev, ha ricevuto una condanna nel maggio 2024, con potenziali anni dietro le sbarre. Eppure le sanzioni e i divieti non impediscono a nessuno di utilizzare il mixer, il che non pregiudica le giurisdizioni al di fuori degli USA.

Alcune monete, come USDC, hanno inserito nella lista nera tutti itracTornado Cash . Eventuali fondi inviati altracnon potranno essere nuovamente recuperati. L'USDC è noto anche per la sua capacità centralizzata di congelare le monete. Per Kraken, anche la possibilità di effettuare prelievi presso un indirizzotracTornado Cash rappresentava una grave vulnerabilità. La maggior parte dei produttori di token sceglie di non esercitare il controllo sui token, lasciandoli vulnerabili al furto e irrecuperabili attraverso il mixaggio.  

---

Reportage criptopolita di Hristina Vasileva

Accademia crittopolitana: in arrivo - un nuovo modo per guadagnare entrate passive con DeFi nel 2025. Scopri di più