Dietro il caso di hack di Kraken c’è Certik, società relativamente conosciuta all’interno del mondo crypto, che offre analisi di sicurezza ai progetti su blockchain e anche ai protocolli. Società che ha una sua versione dei fatti, che è sensibilmente diversa da quella riportata da Kraken e che però ha innescato tutta una serie di polemiche – vedremo se fondate o meno – sui social e tra gli specialisti.
Certik afferma di aver individuato recentemente una serie di vulnerabilità critiche sull’exchange Kraken, che avrebbero potuto portare alla “creazione” di quantità importanti di crypto. Linguaggio che, come vedremo, appare come improprio e pare di una schermaglia retorica con Kraken che probabilmente anticiperà comunque un seguito legale tra le parti.
Tra chi sostiene le ragioni di Kraken e chi sostiene quelle di Certik, c’è anche chi in modo equidistante ritiene che l’industria debba purtroppo fare molto di più anche in termini di rispettabilità dei propri comportamenti. Un dibattito che è stato avviato anche sul nostro Canale Telegram e che non finirà certamente qui e ora.
È Certik ad aver “bucato” Kraken
È Certik, una delle società più conosciute del settore sicurezza crypto, ad aver individuato i bug che gli avrebbero permesso di ritirare oltre 3 milioni di dollari in crypto dall’exchange. Vulnerabilità che sono state ora individuate e sistemate e che non saranno più un problema per Kraken, uno degli exchange più popolari al mondo e uno dei più rappresentativi dell’intera industria.
Il gruppo ha ammesso di essere quello che ha individuato la vulnerabilità tramite un lungo post su X, che è stato fonte poi di ulteriori polemiche, dato il comportamento poco convenzionale durante la scoperta e la riproduzione del bug.
- La versione di Certik
Se Kraken afferma di aver ricevuto un no per la restituzione dei capitali coinvolti, Certik afferma di aver ricevuto una richiesta perentoria di restituzione dei fondi senza che gli sia stato fornito un indirizzo. La richiesta sarebbe arrivata lo scorso 15 giugno – sempre secondo la ricostruzione di Certik. Al 19 giugno, cioè ieri, i fondi non erano ancora stati restituiti.
Certik, dopo il polverone alzato dalle dichiarazioni pubbliche di Kraken, ha acconsentito altrettanto pubblicamente a restituire i fondi ad un indirizzo controllato da Kraken stessa.
Chi ha ragione e chi no?
Non possiamo sapere cosa si siano detti nelle due videoconferenze che hanno tenuto impegnati lo staff di Kraken e quello di Certik. Così come non possiamo sapere effettivamente la forma della richiesta di restituzione di fondi da parte di Kraken.
Rimane inusuale il comportamento di Certik, che ha prelevato una quantità importante di fondi a dimostrazione di vulnerabilità che si sarebbero potute dimostrare anche prelevando qualcosa meno.
La giustificazione di Certik era nella volontà di dimostrare l’assenza o il malfunzionamento di segnalazioni interne al sistema di prelievi di una certa consistenza. Cosa che potrebbe anche essere vera.
Tuttavia rimane poco credibile, almeno ad avviso di chi vi scrive, la questione dell’assenza di indirizzo al quale restituire la somma sottratta. Sia perché sono trascorsi 4 giorni prima che la vicenda sia diventata pubblica (e in 4 giorni si sarebbe potuto ben richiedere), sia perché Certik aveva comunque più indirizzi attivi all’interno di Kraken. Ben oltre i limiti dell’assurdo invece l’aver definito gli asset come “creati dal nulla”: una volta prelevati dalla piattaforma, quegli asset sono stati spostati dalle dotazioni di Kraken a quelle di Certik. E per quanto frutto di un errore della piattaforma, quegli asset esistono, sono reali, sono stati spostati onchain e sono stati in ultimo sottratti ai legittimi proprietari.
Vedremo come evolverà una situazione che certamente non fa onore all’intero comparto crypto.