Kraken rischia un’estorsione dopo l’exploit di un bug crittografico da 3 milioni di dollari

Written by

Translated by

Written on Jun 19, 2024

Reading time 4 minutes

Kraken perde 3 milioni di dollari in risorse digitali dopo un exploit di bug di sicurezza.
L'incidente evidenzia le sfide etiche e le tendenze crescenti nell'hacking crittografico.
Nel primo trimestre del 2024 sono stati rubati oltre 542,7 milioni di dollari in risorse digitali, riflettendo le crescenti minacce alla sicurezza.

L’exchange di criptovalute Kraken ha recentemente rivelato che una vulnerabilità della sicurezza ha portato alla perdita di risorse digitali per un valore di 3 milioni di dollari. Questo incidente ha coinvolto un sedicente ricercatore di sicurezza che ha identificato un bug critico, successivamente sfruttato dagli account correlati per sottrarre fondi.

L’evento ha sollevato seri interrogativi sull’hacking etico e sulle crescenti sfide legate alla protezione delle risorse digitali nel panorama in evoluzione delle criptovalute.

Scoperta e sfruttamento del bug

Il 9 giugno, un individuo anonimo che affermava di essere un ricercatore di sicurezza ha avvisato Kraken di una significativa falla di sicurezza.

Sebbene il ricercatore abbia inizialmente dimostrato il bug con un trasferimento di criptovaluta minimo del valore di $ 4, che in genere si qualifica per il programma di taglie di Kraken, la situazione si è rapidamente aggravata.

Due account associati al ricercatore hanno sfruttato il bug per prelevare oltre 3 milioni di dollari in risorse digitali dal tesoro di Kraken.

Il responsabile della sicurezza di Kraken, Nick Percoco, ha sottolineato sulla piattaforma social X la gravità dell’incidente, sottolineando che non si è trattato di un caso di white-hat hacking ma piuttosto di un atto di estorsione.

Il ricercatore ha chiesto una ricompensa per i fondi rubati, rifiutandosi di restituire i beni finché Kraken non avesse speculato sul potenziale danno che il bug avrebbe potuto causare se non divulgato.

Instead, they demanded a call with their business development team (i.e. their sales reps) and have not agreed to return any funds until we provide a speculated $ amount that this bug could have caused if they had not disclosed it. This is not white-hat hacking, it is extortion!
— Nick Percoco (@c7five) June 19, 2024

Hacking etico o estorsione?

L’incidente ha scatenato un dibattito all’interno della comunità delle criptovalute sui confini etici dell’hacking. Gli hacker etici, o white-hat, in genere rivelano le vulnerabilità alle aziende in modo responsabile, consentendo loro di affrontare i difetti di sicurezza senza causare danni.

Tuttavia, Kraken sostiene che le azioni intraprese da questo ricercatore e i resoconti associati non sono in linea con questi principi.

Uno dei tre account coinvolti aveva completato la verifica Know Your Customer (KYC) di Kraken, identificandosi come ricercatore di sicurezza. Nonostante questa verifica, l’identità dell’individuo resta sconosciuta.

La decisione del ricercatore di sfruttare il bug a scopo di lucro, invece di limitarsi a dimostrarne l’esistenza e rivendicare una ricompensa legittima, è stata ampiamente criticata.

Impatto su Kraken e sull’industria delle criptovalute

Kraken ha sottolineato che nessun fondo degli utenti era a rischio durante l’incidente, poiché la criptovaluta rubata proveniva direttamente dalla tesoreria dell’exchange. Tuttavia, l’evento ha sottolineato le attuali vulnerabilità nel settore delle criptovalute e la necessità di solide misure di sicurezza.

In risposta all’exploit, Kraken ha rivelato i dettagli del bug al settore in generale, con l’obiettivo di prevenire incidenti simili. Questa trasparenza fa parte dell’impegno di Kraken nel migliorare la sicurezza nell’ecosistema delle criptovalute.

Tendenze in aumento nell’hacking crittografico

L’incidente di Kraken fa parte di una tendenza più ampia di aumento degli hack e degli exploit legati alle criptovalute. Secondo il Crypto HackHub Report 2024 di Merkle Science, nel primo trimestre del 2024 gli hacker hanno rubato 542,7 milioni di dollari in asset digitali, un aumento del 42% rispetto allo stesso periodo del 2023.

È interessante notare che le fughe di chiavi private sono emerse come la causa principale di questi exploit, superando le vulnerabilità degli smart contract.

Nel 2023, i fondi persi a causa delle vulnerabilità degli smart contract sono crollati del 92% a 179 milioni di dollari, in calo rispetto ai 2,6 miliardi di dollari del 2022. Tuttavia, oltre il 55% delle risorse digitali violate era dovuto a fughe di chiavi private.

Queste statistiche riflettono la natura in evoluzione delle minacce nel settore delle criptovalute, con gli hacker che prendono sempre più di mira le debolezze della sicurezza individuale piuttosto che i difetti sistemici nei contratti intelligenti.

Negli ultimi 13 anni, l’industria delle criptovalute ha subito 785 attacchi di hacking ed exploit, con perdite pari a quasi 19 miliardi di dollari. Queste cifre evidenziano le sfide significative che gli scambi, i fornitori di portafogli e altre parti interessate devono affrontare nella salvaguardia delle risorse digitali.

Qual è la strada da seguire>

L’esperienza di Kraken serve a ricordare fortemente l’importanza di misure di sicurezza complete e pratiche etiche nel settore delle criptovalute. Sebbene l’exchange abbia adottato misure per affrontare il problema immediato, l’incidente sottolinea la necessità di una vigilanza continua e di innovazione nei protocolli di sicurezza.

Per la più ampia comunità delle criptovalute, l’aumento degli incidenti di hacking e il cambiamento delle tattiche dagli exploit dei contratti intelligenti alle fughe di chiavi private richiedono strutture di sicurezza rafforzate.

Questo articolo è stato tradotto dall'inglese con l'aiuto di strumenti AI, e successivamente revisionato da un traduttore locale.