Le responsable de la sécurité de Kraken a révélé qu’un bug dans le système de financement de la bourse avait entraîné une perte de 3 millions de dollars après avoir été exploité par des chercheurs en sécurité malveillants.
L’échange crypto américain Kraken a perdu environ 3 millions de dollars de crypto début juin après qu’un « chercheur en sécurité » malveillant ait exploité un bug dans le système de financement de l’échange. Le responsable de la sécurité de Kraken, Nick Percoco, a révélé l'incident dans un fil de discussion X, soulignant la violation des normes éthiques par les personnes impliquées.
Chaque jour, nous recevons de faux rapports de bug bounty de la part de personnes prétendant être des « chercheurs en sécurité ». Ce n’est pas nouveau pour quiconque gère un programme de bug bounty. Cependant, nous avons traité cette question avec sérieux et avons rapidement constitué une équipe interfonctionnelle pour approfondir ce problème. Voici ce que nous avons trouvé.
– Nick Percoco (@c7five) 19 juin 2024
Selon Percoco, l'équipe a d'abord reçu une notification d'un « chercheur en sécurité » concernant un bug potentiel le 9 juin. Plus tard, l'équipe a découvert une « faille résultant d'un récent changement UX » qui permettrait de créditer les comptes clients avant leurs actifs. compensé, permettant aux clients de négocier efficacement les marchés de cryptographie en temps réel. Le CSO de Kraken a admis que l'échange n'avait pas testé le changement UX par rapport à ce vecteur d'attaque spécifique avant l'attaque.
"Ce changement UX n'a pas été testé de manière approfondie par rapport à ce vecteur d'attaque spécifique", a écrit Percoco.
Vous aimerez peut-être aussi : Kraken demande à nouveau de rejeter le procès de la SEC, citant une formulation incorrecte
Après avoir corrigé la vulnérabilité, Kraken a découvert que trois comptes avaient déjà exploité la même faille à quelques jours d'intervalle. Au lieu de signaler directement le bug, le chercheur en sécurité aurait partagé l'information avec deux associés, a déclaré Percoco, ajoutant que les inconnus ont finalement retiré près de 3 millions de dollars des trésoreries de Kraken.
Percoco a souligné que le rapport initial du « chercheur en sécurité » n’a pas entièrement divulgué le bug, l’équipe a donc dû reconfirmer certains détails pour progresser en les récompensant pour avoir réussi à identifier une faille de sécurité.
Kraken a demandé un compte rendu complet de ses activités, une preuve de concept et le retour des fonds retirés. Cependant, les individus ont refusé d’obtempérer, ce que Percoco a décrit comme « non pas un piratage informatique » mais plutôt une « extorsion ». On ne sait toujours pas si Kraken a identifié tous les attaquants ou s'il a réussi à récupérer les fonds volés.
Lire la suite : L'échange de crypto Kraken envisage une augmentation de 100 millions de dollars avant l'introduction en bourse