Kraken 披露漏洞致使恶意“安全研究人员”窃取 300 万美元

Cryptopolitan · 2024-06-19T16:33:04.000Z

美国交易所 Kraken 因一家未具名的安全公司利用其平台漏洞而损失了近 300 万美元。首席安全官 Nick Percoco 在 X 上的一篇帖子中披露了这一消息，并表示该安全公司拒绝退还资金，现在要求更高的赏金。另请阅读：加密货币交易所 DMM Bitcoin 承诺在遭受 3 亿美元黑客攻击后向用户偿还款项作为回应，Kraken 已将此事上报执法机构，并将视其为犯罪行为。不过，用户不必担心，因为该交易所声称已经解决了该漏洞，并且没有用户帐户受到影响。

La bourse américaine Kraken a perdu près de 3 millions de dollars dans sa trésorerie après qu'une société de sécurité anonyme ait exploité un bug sur sa plateforme. Le responsable de la sécurité, Nick Percoco, l'a révélé dans un article sur X, déclarant que la société de sécurité avait refusé de restituer les fonds et exigeait désormais un paiement plus élevé à titre de prime.
Lisez aussi : Crypto Exchange DMM Bitcoin s'engage à rembourser les utilisateurs après un piratage de 300 millions de dollars
En réponse, Kraken a transmis l'affaire aux forces de l'ordre et la traitera comme pénale. Cependant, les utilisateurs n'ont pas à s'inquiéter, car l'échange affirme avoir déjà résolu la vulnérabilité et qu'aucun compte utilisateur n'a été affecté.
Le bug Kraken permet d'imprimer de l'argent
Selon Percoco, un chercheur en sécurité a alerté Kraken d'un bug critique via son programme Bug Bounty le 9 juin. Lors d'enquêtes internes, l'équipe de sécurité de l'exchange a découvert une vulnérabilité qui pourrait permettre à un mauvais acteur d'initier un dépôt sur son compte Kraken et de recevoir le fonds sans finaliser le dépôt. Un attaquant malveillant pourrait imprimer des millions de dollars à partir de rien grâce à cet exploit.
Il expliqua:
« Nous avons découvert un bug isolé. Cela a permis à un attaquant malveillant, dans de bonnes circonstances, d’initier un dépôt sur notre plateforme et de recevoir des fonds sur son compte sans finaliser complètement le dépôt.
L'équipe de sécurité interne a atténué le problème en 47 minutes et l'a complètement résolu après quelques heures. Cependant, la société a découvert que le bug résultait d'un changement récent dans son UX qui permettait de créditer les comptes clients avant que leurs actifs ne soient compensés. Bien que le changement ait été intégré pour permettre le trading instantané, il n'a pas été entièrement testé contre ce type de risque.
Cependant, Percoco a ajouté que l’incident n’avait pas affecté les actifs des utilisateurs et que l’exploitation de la vulnérabilité n’affectait que la trésorerie du Kraken.
Les chercheurs en sécurité sont des criminels
Entre-temps, une analyse de la vulnérabilité a révélé que trois comptes exploitaient la faille, et l'un de ces comptes était enregistré sous le nom du chercheur en sécurité qui a initialement contacté la bourse.
Lisez aussi : Kraken envisage de radier l'USDT de la liste en réponse aux nouvelles réglementations de l'UE
Alors que le compte du chercheur n’a utilisé la faille que pour se créditer 4 $, suffisamment pour prouver que le bug était réel, les deux autres comptes ont retiré près de 3 millions de dollars de leurs comptes Kraken en utilisant le même exploit. Il est intéressant de noter que ces comptes étaient associés à des associés du chercheur en sécurité.
Kraken a expliqué que ses tentatives pour récupérer les fonds ont été vaines car les chercheurs demandent maintenant un paiement plus élevé qu'ils estiment proportionné au risque de bug.
Percoco a décrit cela comme un acte d'extorsion, ce qui contredit le principe du programme Bug Bounty. Il a ajouté que la violation des règles qui donnent aux pirates informatiques le droit de pirater fait des chercheurs en sécurité des criminels, et que l'échange les traite comme tels.

Kraken révèle qu’un bug a permis à des « chercheurs en sécurité » malveillants d’exploiter 3 millions de dollars

Découvrez-en plus sur le créateur

Dernières actualités