CertiK spiega la sua posizione sull'hacking etico, Kraken ammette la restituzione completa dei fondi

CertiK, l'azienda di sicurezza per smarttrac, continua a sostenere che le sue azioni contro l'exchange Kraken siano state etiche e che stessero cercando di stimare l'intera portata delle falle di sicurezza. I tester affermano inoltre di aver restituito tutti i fondi in natura e di non aver estorto denaro a Kraken. 

Il team di CertiK ha elaborato una nuova dichiarazione per confutare alcune precedenti affermazioni di Kraken. I tester hanno respinto le richieste di ricompensa, affermando che la loro priorità era risolvere la vulnerabilità relativa alla possibilità di stampare fondi su un conto. 

Leggi: Kraken recupera 3 milioni di dollari mentre aumentano le critiche contro Certik

Tutti i fondi prelevati provenivano dai cold wallet di Kraken e nessun account utente è stato interessato. Le monete sono state restituite in base ai calcoli e ai registri delle transazioni di CertiK. 

L'azione più controversa di CertiK riguardava la registrazione di alcuni trasferimenti di fondi a Tornado Cash. Il coin mixer ha già subito sanzioni da parte del Dipartimento del Tesoro degli Stati Uniti, che ha vietato alle persone domiciliate negli Stati Uniti di interagire con esso. 

CertiK è ben consapevole dell'utilizzo di Tornado Cash e ha incluso i trasferimenti come prova del suo exploit. In precedenza, CertiK aveva anche tracl'utilizzo di Tornado Cash nell'ambito di exploit più vecchi. Uno dei principali obiettivi di CertiK rimane l'audit degli smarttrac, che spesso contengono falle logiche simili che portano a una creazione illimitata di token.

L'approccio di CertiK all'hacking etico ha innervosito gli osservatori, poiché piccole somme di denaro sono state inviate direttamente a Tornado Cash per testare l'exploit. Alcuni passaggi del processo di test di Kraken sono trapelati sui social media prima che Kraken comunicasse finalmente la reale portata dell'exploit. 

La questione della ricompensa per il bug non è stata discussa, ma CertiK continua a sostenere di non aver richiesto una ricompensa per la restituzione dei fondi. Finora, il team di sicurezza di Kraken non ha annunciato alcuna ricompensa per CertiK. 

Kraken ammette di aver ricevuto tutti i fondi

CertiK ha generato saldi sulla piattaforma centralizzata Kraken ed eseguito prelievi per conto di tali conti. 

Le affermazioni di Kraken secondo cui CertiK era inesatta nei suoi rendimenti sono state le più controverse. Tuttavia, sono state smentite pochi giorni dopo. Il responsabile della sicurezza di Kraken, Nick Percoco, ha annunciato che i fondi sono stati restituiti integralmente, al netto delle commissioni di transazione. 

I conti di CertiK riportavano prelievi di soli ETH, USDT e XMR, mentre Kraken dichiarava che erano stati prelevati anche 155.818,44 MATIC , anche se misti. I prelievi erano stimati in circa 3 milioni di dollari, sebbene CertiK abbia utilizzato una piccola somma per dimostrare l'exploit. 

Un'ulteriore analisi dell'exploit ha mostrato che CertiK ha generato saldi MATIC inesistenti, ma le transazioni sono fallite e nessun fondo è uscito dai cold wallet di Kraken. Il MATIC generato era solo un exploit interno che non ha comportato il trasferimento di token Polygon reali. 

In alcuni casi è possibile simulare la presenza di fondi, poiché altri protocolli sono stati attaccati con prestiti flash. 

CertiK ha affermato che gli exploit sono tornati a crescere a giugno, con oltre 30 milioni di dollari sottratti ad app e protocolli. Il conteggio non include gli attacchi contro singoli wallet. 

Tornado Cash è ancora operativo anni dopo le sanzioni

Il mixer Tornado Cash continua a facilitare gli exploit, poiché i fondi non sono piùtracdopo essere passati attraverso il mixer. Anche dopo aver inserito portafogli e indirizzi nella blacklist, nulla impedisce agli hacker di mischiare ETH e inviarli a nuovi portafogli sconosciuti. 

Leggi anche: Il gruppo dietro la causa Tornado Cash perde contro il Tesoro degli Stati Uniti

Dal 2022 Tornado Cash ha risorse limitate, ma il servizio è ancora operativo. 

Il fondatore di Tornado Cash, Alexey Pertsev, è stato condannato a maggio 2024, con possibili anni di carcere. Tuttavia, le sanzioni e i divieti non impediscono a nessuno di utilizzare il mixer, il che non riguarda le giurisdizioni al di fuori degli Stati Uniti.

Alcune monete, come USDC, hanno inserito nella blacklist tuttitracTornado Cash . Tutti i fondi inviati altracnon possono essere recuperati. USDC è anche nota per la sua capacità centralizzata di congelare le monete. Per Kraken, la possibilità di prelevare su un indirizzo ditracTornado Cash rappresentava un'ulteriore vulnerabilità. La maggior parte dei produttori di token sceglie di non esercitare alcun controllo sui token, lasciandoli vulnerabili al furto e irrecuperabili tramite mixing. 

Reportage Cryptopolitan di Hristina Vasileva