Kraken ha accusato una società di ricerca sulla sicurezza non nominata di aver rubato $3 milioni dal suo tesoro e di aver tentato di estorcere ulteriori soldi. Nick Percoco ha detto che gli hacker cosiddetti white hat non hanno divulgato completamente i dettagli della transazione del bug e non hanno preso accordi per restituire i fondi rubati.
Kraken definisce le richieste della società di ricerca sulla sicurezza "Criminali"; Certik condanna le minacce contro i suoi dipendenti
Questo articolo è stato pubblicato più di un anno fa. Alcune informazioni potrebbero non essere più attuali.
SCRITTO DA
CONDIVIDI
Gli Hacker White Hat si Rifiutano di Rispettare le Regole
Lo scambio di criptovalute statunitense Kraken ha accusato una società di ricerca sulla sicurezza non nominata di aver sottratto illegalmente $3 milioni dal suo tesoro e di aver tentato di estorcere ulteriori soldi. Nick Percoco, capo della sicurezza di Kraken, ha rivelato in un post su X (precedentemente Twitter) che queste azioni da parte degli hacker white hat si discostano dalla pratica normale.
Kraken ha dichiarato che nei dieci anni in cui ha gestito un programma di bug bounty non ha mai incontrato ricercatori di sicurezza che si sono rifiutati di seguire le sue regole. Secondo Percoco, ai partecipanti al programma è richiesto di restituire prontamente qualsiasi fondo estratto quando rilevano bug. Inoltre, devono fornire una prova del concetto ed evitare di sfruttare eccessivamente il bug.
Hacker White Hat Accusati di Mancanza di Professionalità
Tuttavia, secondo Percoco, gli hacker white hat non hanno divulgato completamente i dettagli della transazione del bug e non hanno preso accordi per restituire i fondi rubati. Invece di restituire i soldi, la società di ricerca ha accusato Kraken di essere “irragionevole” e “non professionale”.
“Come ricercatore di sicurezza, la tua licenza di ‘hackerare’ un’azienda è abilitata seguendo le semplici regole del programma di bug bounty a cui stai partecipando. Ignorare quelle regole ed estorcere l’azienda revoca la tua ‘licenza di hackerare’. Ti rende, e la tua azienda, criminali,” ha dichiarato Percoco.
Ha aggiunto che, sebbene Kraken abbia contattato le agenzie di applicazione della legge, il programma di bug bounty continua a servire come uno scudo vitale per lo scambio di cripto. Tuttavia, Percoco non ha divulgato il nome della società di ricerca perché non merita riconoscimenti per le sue azioni.
Certik Denuncia le Minacce di Kraken
Nel frattempo, poche ore dopo che Kraken ha presentato le accuse di estorsione, la società di sicurezza blockchain Certik ha rivelato di essere la società di ricerca sulla sicurezza coinvolta. Tuttavia, Certik ha accusato Kraken di aver minacciato i suoi dipendenti chiedendo la restituzione di una “quantità di cripto non corrispondente” in un lasso di tempo non ragionevole.
Da notare, Kraken ha presumibilmente fatto questa richiesta senza fornire indirizzi di rimborso, ha affermato la società di sicurezza. Certik ha sottolineato che Kraken dovrebbe smettere di emettere minacce e si è impegnata a trasferire la cripto non corrispondente a un conto accessibile allo scambio di cripto.
“Poiché Kraken non ha fornito indirizzi di rimborso e l’importo richiesto era non corrispondente, stiamo trasferendo i fondi in base ai nostri registri a un conto che Kraken sarà in grado di accedere,” ha detto Certik.
In aggiornamenti successivi, Certik sembrava rispondere alle preoccupazioni sollevate sul numero di test condotti chiedendo perché il sistema di difesa tanto decantato di Kraken non sia riuscito a rilevare così tante transazioni di test. Certik ha affermato che i continui grandi prelievi da diversi account di test erano, in effetti, parte dei nostri test.
Quali sono i tuoi pensieri su questa storia? Condividi le tue opinioni nella sezione commenti qui sotto.
