Le responsable de la sécurité de l'échange de crypto-monnaie Kraken, Nick Percoco, a déclaré avoir reçu une alerte indiquant qu'il existait une vulnérabilité « hautement critique » dans le système qui pourrait augmenter artificiellement le solde de la plateforme. 🚨

La vulnérabilité, qui a été découverte et corrigée dans Kraken, permettait aux attaquants de recevoir des fonds sur leur compte sans avoir à suivre le processus de dépôt complet. Le problème est survenu après une mise à jour de l'interface utilisateur qui permettait de créditer les fonds sur les comptes des clients avant que leurs actifs ne soient entièrement compensés.

Trois comptes ont exploité cette vulnérabilité en peu de temps. L'un de ces comptes appartenait au chercheur en sécurité qui a initialement découvert et signalé le bug dans le système. Ces trois comptes ont pu retirer près de 3 millions de dollars des comptes Kraken.

Après que Kraken ait approché les chercheurs en sécurité en leur proposant de les récompenser pour la découverte de la vulnérabilité, les chercheurs ont refusé de restituer les fonds jusqu'à ce que l'échange évalue l'impact financier potentiel du bug.

Selon Percoco, l’incident est perçu comme une extorsion plutôt que comme une activité légitime de piratage informatique. Il a souligné que Kraken considère un tel incident comme une affaire pénale et a l'intention de coopérer avec les forces de l'ordre.

Le programme Bug Bounty soutient la mission de Kraken consistant à assurer la sécurité des utilisateurs sur le marché des crypto-monnaies. En 2023, le programme a reconnu 22 rapports sur un total de 461 candidatures. 💼