CertiK, società di sicurezza blockchain, si è presentata al pubblico identificandosi come il "ricercatore di sicurezza" che, secondo Kraken, avrebbe rubato asset digitali per un valore di 3 milioni di dollari.
In un post del 19 Giugno su X, CertiK ha dichiarato di aver informato Kraken di un exploit che le ha permesso di rimuovere milioni di dollari dai conti dell'exchange. Nicholas Percoco, chief security officer di Kraken, ha affermato che un team di sicurezza senza nome — che all'epoca non è stato rivelato essere CertiK — ha commesso un'"estorsione" rifiutandosi di restituire i fondi fino a quando l'exchange non avesse accettato di fornire "un importo stimato di $ che questo bug avrebbe potuto causare se non l'avessero rivelato".
"Dopo le conversioni iniziali andate a buon fine per l'identificazione e la correzione della vulnerabilità, il team operativo di sicurezza di Kraken ha MINACCIATO i singoli dipendenti di CertiK di restituire una quantità di cripto spropositata in un tempo irragionevole anche senza fornire indirizzi di rimborso", ha dichiarato CertiK. "Nello spirito di trasparenza e nel nostro impegno verso la community Web3, stiamo rendendo pubblica la notizia per proteggere la sicurezza di tutti gli utenti. Esortiamo [Kraken] a cessare qualsiasi minaccia contro gli hacker whitehat".
La società di sicurezza ha pubblicato una cronologia degli eventi, che inizia con l'identificazione dell'exploit il 5 Giugno e termina con le affermazioni di Kraken che il 18 Giugno ha minacciato un dipendente di CertiK. Nella dichiarazione rilasciata a Cointelegraph, CertiK ha affermato di aver pianificato il trasferimento dei fondi "su un conto a cui Kraken sarà in grado di accedere".
Le reazioni iniziali di molti cripto utenti sembravano sostenere Kraken, affermando che le azioni di CertiK non erano paragonabili a quelle degli hacker white hat. Non è chiaro se Kraken abbia motivi per intraprendere un'azione legale.
Ad Aprile CertiK ha riferito che nel 2023 sono stati persi circa 1 miliardo di dollari in asset digitali a causa di attività illecite. L'azienda ha già individuato vulnerabilità nel bridge Wormhole di Aptos e nell'app Telegram.