La société de sécurité cryptographique CertiK affirme qu'un employé malveillant est à l'origine de plusieurs transactions Tornado Cash liées à son exploitation de l'échange cryptographique Kraken en juin.

L'incident du 19 juin, au cours duquel l'entreprise a retiré environ 3 millions de dollars de la bourse, a provoqué à l'époque un tollé de la part des chercheurs en sécurité cryptographique qui se demandaient pourquoi un portefeuille connecté à CertiK avait envoyé des fonds via le protocole DeFi sanctionné.

« Ces transactions n'ont pas été exécutées de manière malveillante et elles n'étaient pas liées aux fonds retirés de Kraken », a déclaré un porte-parole de CertiK à DL News, confirmant qu'un des employés de l'entreprise avait utilisé Tornado Cash.

Le porte-parole a déclaré qu'un membre de l'équipe, sans autorisation, a envoyé une petite somme de ses propres fonds à Tornado Cash et a immédiatement retiré les fonds vers plusieurs nouvelles adresses lui appartenant.

Tornado Cash permet aux utilisateurs de briser la chaîne de traçabilité entre les transactions blockchain.

Bien que CertiK maintienne que l'incident était une opération « whitehat » conçue pour tester la sécurité de Kraken, on ne sait pas pourquoi une entreprise fondée sur la sécurisation du code pour la cryptographie semble avoir enfreint les normes du secteur lors de l'enquête et du test de l'exploit.

« Profondément désolé »

Ces nouveaux commentaires interviennent après que CertiK a publié sa première déclaration officielle sur l'incident le 16 août, affirmant avoir pris des mesures pour « minimiser le risque que des malentendus similaires se reproduisent ».

D’autres experts en cybersécurité se sont montrés sceptiques.

« Ce blog n’était guère qu’une excuse », a déclaré Hudson Jameson, membre de Security Alliance, à propos de la déclaration de CertiK sur Telegram, une application de messagerie.

CertiK a depuis adopté un ton plus apologétique.

« Nous sommes profondément désolés pour la gêne occasionnée et la confusion causée à nos clients et à notre communauté par l'incident de Kraken », a déclaré le porte-parole de l'entreprise à DL News.

La déclaration du 16 août n'a pas expliqué pourquoi des actifs avaient été envoyés d'un portefeuille lié à l'entreprise à Tornado Cash.

Et CertiK n'a pas répondu à une demande demandant pourquoi le membre de l'équipe envoyait de petites sommes via Tornado Cash en premier lieu.

Bien que Tornado Cash ait des utilisations légitimes, les régulateurs l'ont examiné de près en raison de sa popularité auprès des blanchisseurs d'argent, en particulier auprès du syndicat nord-coréen de la cybercriminalité Lazarus Group.

En 2022, Tornado Cash a été sanctionné par l’Office of Foreign Asset Control (OFAC). Selon le site Internet de l’OFAC, les pénalités pour non-respect des sanctions peuvent dépasser plusieurs millions de dollars.

CertiK étant une société enregistrée aux États-Unis, elle est presque certainement soumise à de telles sanctions.

Et les transactions Tornado Cash ne sont pas la seule question sans réponse suite à cette débâcle.

Une autre question persistante est de savoir pourquoi CertiK a choisi de retirer une somme d’argent aussi importante – près de 3 millions de dollars – de Kraken après avoir découvert le bug.

« Notre équipe a fait cela pour tester les limites de la protection et des contrôles des risques de Kraken », a déclaré CertiK. « À notre connaissance, aucune alerte n’a été déclenchée et aucune limite n’a été déclenchée. »

Les normes de l’industrie stipulent qu’après avoir confirmé l’existence d’un bug, le découvreur doit le signaler le plus tôt possible, et non continuer à l’exploiter pour tester les limites théoriques.

Qu'est-ce qui s'est mal passé ?

CertiK, une société de sécurité cryptographique qui se vante de fournir des services à plus de 4 700 projets, a déclaré avoir depuis pris des mesures disciplinaires contre les membres de l'équipe impliqués dans l'exploit Kraken tout en mettant en œuvre des changements de politique et de formation.

Cela comprend, selon l'entreprise, la garantie du respect interne de toutes les politiques et lois applicables, y compris les sanctions de l'OFAC.

L’année dernière, CertiK a réduit ses effectifs d’environ 15 % dans le cadre d’une série de licenciements à l’échelle du secteur.

CertiK a qualifié les suppressions d’emplois de « réajustements stratégiques de la main-d’œuvre en réponse à l’évolution de la dynamique du marché ». L’entreprise a refusé de dire si ces suppressions avaient eu un impact sur la qualité de ses processus internes.

Tim Craig est le correspondant DeFi de DL News basé à Édimbourg. N'hésitez pas à nous faire part de vos conseils à l'adresse tim@dlnews.com.