Kraken a déclaré que des chercheurs en sécurité tiers avaient découvert une vulnérabilité qui avait été corrigée par l'échange cryptographique.
Les chercheurs ont secrètement retiré près de 3 millions de dollars et ont refusé de les restituer sans connaître au préalable le montant de la prime, a déclaré Kraken.
Kraken a indiqué qu'il ne verserait pas de prime aux chercheurs parce qu'ils n'avaient pas respecté les règles du programme.
L'échange de crypto Kraken a déclaré que les "chercheurs en sécurité" qui ont découvert une vulnérabilité sur la plateforme se sont tournés vers "l'extorsion" après avoir retiré environ 3 millions de dollars de la trésorerie de l'échange.
Nick Percoco, responsable de la sécurité de Kraken, a déclaré dans un article sur la plateforme de médias sociaux X (anciennement Twitter) que la société avait reçu le 9 juin une alerte de "programme de bug bounty" de la part d'un chercheur en sécurité concernant une vulnérabilité qui permet aux utilisateurs de gonfler artificiellement leur solde. . Le bug "a permis à un attaquant malveillant, dans de bonnes circonstances, d'initier un dépôt sur notre plateforme et de recevoir des fonds sur son compte sans finaliser complètement le dépôt", a ajouté Percoco.
Mise à jour de sécurité Kraken : le 9 juin 2024, nous avons reçu une alerte du programme Bug Bounty d'un chercheur en sécurité. Aucun détail n'a été initialement divulgué, mais leur e-mail prétendait trouver un bug « extrêmement critique » qui leur permettait de gonfler artificiellement leur solde sur notre plateforme.
– Nick Percoco (@c7five) 19 juin 2024
Dès réception du rapport, Kraken a rapidement résolu le problème et aucun fonds d'utilisateur n'a été affecté, a noté Percoco.
Ce qui a suivi a déclenché des signaux d’alarme pour l’équipe de Kraken.
Le chercheur en sécurité, après avoir découvert le bug, l'aurait divulgué à deux autres personnes, qui auraient ensuite retiré « frauduleusement » près de 3 millions de dollars de leurs comptes Kraken. "Cela provenait de la trésorerie de Kraken, et non d'autres actifs de clients", a déclaré Percoco.
Le rapport de bug initial ne mentionnait pas les transactions des deux autres individus, et lorsque Kraken a demandé plus de détails sur leurs activités, ils ont refusé.
"Au lieu de cela, ils ont exigé un appel avec leur équipe de développement commercial (c'est-à-dire leurs représentants commerciaux) et n'ont accepté de restituer aucun fonds jusqu'à ce que nous fournissions un montant spéculatif en dollars que ce bug aurait pu causer s'ils ne l'avaient pas divulgué. Ce n'est pas blanc. -un piratage de chapeau, c'est de l'extorsion !" Percoco a écrit.
Les programmes de bug bounty – utilisés par de nombreuses entreprises pour renforcer leurs systèmes de sécurité – invitent des pirates tiers, appelés « chapeaux blancs », à rechercher des vulnérabilités afin que l'entreprise puisse les corriger avant qu'un acteur malveillant ne les exploite. Le concurrent de Kraken, Coinbase, dispose d'un programme similaire pour aider à alerter l'échange des vulnérabilités.
Pour recevoir la prime, le programme de Kraken nécessite qu'un tiers trouve le problème, exploite le montant minimum nécessaire pour prouver le bug, restitue les actifs et fournisse des détails sur la vulnérabilité, a déclaré Kraken dans un article de blog, ajoutant que depuis que les chercheurs en sécurité n'a pas suivi ces règles, ils ne recevront pas la prime.
"Nous avons engagé ces chercheurs de bonne foi et, dans le cadre d'une décennie de programme de bug bounty, nous leur avons offert une prime considérable pour leurs efforts. Nous sommes déçus par cette expérience et travaillons maintenant avec les forces de l'ordre pour récupérer le actifs de ces chercheurs en sécurité", a déclaré un porte-parole de Kraken à CoinDesk.
Lire la suite : Votre projet crypto a besoin d'un shérif, pas d'un chasseur de primes