Le chef de la sécurité de l'échange de crypto-monnaie Kraken, Nick Percoco, a partagé un message sur la plateforme de médias sociaux X, informant que le 9 juin, une alerte du programme Bug Bounty a été reçue d'un chercheur en sécurité. L’alerte, reçue par courrier électronique, ne fournissait pas de détails précis mais mentionnait la découverte d’une vulnérabilité « extrêmement critique » qui pourrait potentiellement gonfler artificiellement l’équilibre de la plateforme.
Kraken a identifié et corrigé une vulnérabilité qui pourrait permettre à un acteur malveillant de potentiellement recevoir des fonds sur son compte sans terminer le processus de dépôt complet. Le problème découle d'une récente mise à jour de l'expérience utilisateur (UX) qui permettait de créditer les comptes clients avant que leurs actifs ne soient complètement compensés, facilitant ainsi le trading en temps réel sur les marchés de crypto-monnaie. Ce changement UX spécifique n’a pas été testé de manière adéquate contre de tels vecteurs d’attaque potentiels.
De plus, il a été découvert que trois comptes avaient exploité cette vulnérabilité en peu de temps. Après avoir mené une enquête approfondie, il a été déterminé que l'un de ces comptes appartenait au chercheur en sécurité qui avait initialement identifié le bug dans le système et l'avait signalé.
Le « chercheur en sécurité » a ensuite partagé les détails de ce bug avec deux associés. Ensemble, ces trois comptes ont réussi à retirer près de 3 millions de dollars des comptes de Kraken, en particulier des trésoreries de Kraken et non des actifs des clients. Après que Kraken ait contacté les chercheurs en sécurité pour discuter de leur récompense pour la découverte d'une faille de sécurité via son programme Bug Bounty, les chercheurs ont refusé de restituer des fonds jusqu'à ce que l'échange estime l'impact financier potentiel du bug s'il n'avait pas été signalé.
Nick Percoco a souligné que l'incident était perçu comme une extorsion plutôt que comme une activité légitime de piratage informatique, bien qu'il n'ait pas révélé le nom de la société de recherche impliquée. Il a en outre noté que Kraken considère un tel incident comme une affaire pénale et a l'intention de collaborer avec les forces de l'ordre, le cas échéant.
Pour être clair, les actifs d’aucun client n’ont jamais été menacés. Cependant, un attaquant malveillant pourrait effectivement imprimer des actifs sur son compte Kraken pendant un certain temps.
– Nick Percoco (@c7five) 19 juin 2024
Le programme Kraken Bug Bounty protège les utilisateurs de crypto-monnaie et reconnaît 22 rapports en 2023
Kraken permet le trading de crypto-monnaies contre des monnaies fiduciaires. De plus, il propose des services pour les dérivés de crypto-monnaie et le trading de contrats à terme. D'après les informations de CoinMarketCap, Kraken occupe la sixième position parmi les bourses mondiales de crypto-monnaie, avec un volume de transactions quotidien moyen d'environ 741 millions de dollars.
Le programme Bug Bounty soutient la mission de Kraken consistant à protéger les utilisateurs sur le marché des crypto-monnaies. Kraken s'engage à s'abstenir de toute action en justice contre les chercheurs en sécurité qui se conforment à toutes les politiques du Kraken Bug Bounty. Les soumissions à l'initiative sont évaluées par Kraken, avec des paiements déterminés en fonction de la gravité du bug et émis en BTC. En 2023, le programme a reconnu 22 rapports sur un total de 461 soumissions.
Le poste Crypto Exchange Kraken fait chanter après le rapport Bug Bounty, 3 millions de dollars retirés des actifs du Trésor apparaît en premier sur Metaverse Post.