Proprio nella giornata di ieri Kraken, noto exchange crypto, ha annunciato sul suo blog di aver scoperto e risolto un pericoloso bug che gli sta costando, per ora, 3 milioni di dollari in criptovalute. Diciamo per ora perché la situazione è ancora contesa tra la piattaforma e la società di ricerca sulla sicurezza di terze parti che avrebbe sfruttato il problema per ottenere un guadagno.
Kraken ha comunque assicurato la comunità che “nessun asset dei clienti è stato colpito o vulnerabile prima di questa divulgazione“. Inoltre, ha precisato di aver “risolto il bug“. Una notizia che ha fatto tirare un sospiro di sollievo a tutti gli utenti con conto aperto sull’exchange crypto. Ma cosa è successo nello specifico? Il comunicato ufficiale lo spiega:
Il bug è stato inizialmente scoperto da una società di ricerca sulla sicurezza di terze parti che aveva sfruttato il difetto per ottenere un guadagno finanziario prima di segnalarlo al programma Bug Bounty di Kraken. Questo difetto ha permesso ad alcuni utenti, per un breve periodo di tempo, di aumentare artificialmente il valore del saldo del proprio account Kraken senza completare completamente un deposito.
Al momento della scoperta, uno sforzo interfunzionale di Kraken ha mitigato il problema in meno di un’ora. Abbiamo quindi testato a fondo la soluzione per evitare problemi simili in futuro.
Resta l’amaro in bocca a Kraken per come questa società di ricerca ha agito scoprendo il bug. Secondo l’exchange “hanno agito in malafede e al di fuori delle regole del […] programma Bug Bounty“. Ricordiamo che questo programma è operativo da oltre 10 anni.
Kraken Bug: le dichiarazioni dell’exchange e la contesa del denaro sottratto
Il Bug di Kraken sta facendo molto discutere la comunità perché in un certo senso la società di ricerca ha sì individuato il problema, ma lo ha fatto sottraendo 3 milioni di dollari in criptovalute. Secondo quanto dichiarato dall’exchange crypto non è stata rispettata la collaborazione tra le parti.
Infatti, chi individua un bug dovrebbe sfruttare solo ciò che è indispensabile per dimostrare una vulnerabilità di sicurezza. Dopodiché dovrebbe restituire immediatamente gli asset estratti fornendo i dettagli del test in ogni sua parte così da facilitare eventuali correzioni. Nick Percoco, Chief Security Officer di Kraken ha spiegato:
In qualità di leader con radici nella comunità degli hacker, posso testimoniare l’importanza di sfruttare le competenze, le conoscenze e le competenze della comunità di sicurezza per migliorare le strategie di sicurezza e i controlli di gestione del rischio delle aziende.
Quello della sicurezza è un tema molto sentito da parte degli utenti che investono i propri risparmi su questi exchange. Occorre anche prestare attenzione al sistema fiscale del Paese in cui si risiede. In questi giorni la Guardia di Finanza ha dato il via a controlli in merito a criptovalute e tasse.