Original|Odaily Planet Daily
Auteur|jk
Le 19 juin, heure locale des États-Unis, la bourse de crypto-monnaie Kraken et la société de sécurité blockchain CertiK se sont affrontées publiquement sur les réseaux sociaux au sujet d'une série de graves failles de sécurité.
L'incident provient d'une vulnérabilité Kraken découverte par CertiK : Nick Percoco, responsable de la sécurité de Kraken, a révélé sur Twitter qu'un rapport de vulnérabilité "extrêmement grave" avait été reçu dans son programme de bug bounty, et le rapport affirmait avoir découvert une vulnérabilité qui pourrait être artificiellement A. vulnérabilité qui augmente les soldes des comptes. CertiK l'a qualifié de test de sécurité de l'échange Kraken, et Kraken pensait que CertiK exploitait la vulnérabilité intermédiaire pour en tirer profit. Les deux parties ont insisté sur leurs propres opinions et ont continué à se disputer, formant une scène de consommation de melon à grande échelle.
Divulgation de l'incident Kraken
Voici le processus d’incident publié par le responsable de la sécurité de Kraken sur la plateforme X :
« Le 9 juin 2024, nous avons reçu une alerte d'un chercheur en sécurité via notre programme de bug bounty. Il n'y avait pas de détails au début, mais ils ont affirmé avoir découvert une vulnérabilité « extrêmement grave » qui leur a permis d'exploiter notre plateforme. artificiellement augmenté.
Nous recevons chaque jour de faux rapports de vulnérabilité de la part de personnes prétendant être des « chercheurs en sécurité ». Cela n’a rien de nouveau pour quiconque gère un programme de bug bounty. Cependant, nous prenons cette question très au sérieux et avons rapidement constitué une équipe interfonctionnelle pour enquêter sur le problème. Voici ce que nous avons trouvé.
En quelques minutes, nous avons découvert une vulnérabilité isolée. Dans certaines circonstances, cette vulnérabilité pourrait permettre à un attaquant malveillant de lancer une opération de dépôt et de recevoir des fonds sur son compte sans finaliser complètement le dépôt.
Pour être clair, les actifs des clients ne sont jamais menacés. Cependant, un attaquant malveillant peut effectivement générer des actifs sur son compte Kraken sur une période donnée.
Nous avons évalué cette vulnérabilité comme critique et le problème a été atténué par notre équipe d'experts en une heure (47 minutes pour être exact). En quelques heures, le problème a été complètement résolu et ne se reproduira plus.
Notre équipe a découvert que la vulnérabilité provient de récents changements dans l'expérience utilisateur (UX) qui débitent les comptes des clients immédiatement avant le règlement de leurs actifs et permettent aux clients de négocier sur les marchés des crypto-monnaies en temps réel. Ce changement UX n'a pas été entièrement testé contre ce vecteur d'attaque spécifique.
Après avoir corrigé le risque, nous avons mené une enquête approfondie et avons rapidement découvert que trois comptes avaient exploité la vulnérabilité en quelques jours. Après une enquête plus approfondie, nous avons remarqué que l'un des comptes était lié via KYC à une personne prétendant être un chercheur en sécurité.
Cet individu a découvert cette vulnérabilité dans notre système de financement et l'a utilisée pour augmenter le solde de son compte de 4 $. Cela suffit pour prouver l'existence d'une vulnérabilité, soumettre un rapport de bug bounty à notre équipe et recevoir une récompense conséquente selon les termes de notre programme.
Cependant, le « chercheur en sécurité » a révélé la faille à deux autres personnes avec lesquelles il travaillait, qui l'ont exploitée pour générer frauduleusement des sommes d'argent plus importantes. Ils ont fini par retirer près de 3 millions de dollars de leurs comptes Kraken. Ces fonds proviennent des coffres de Kraken et non des actifs d’autres clients.
Le rapport initial de bug bounty ne divulguait pas entièrement ces informations de transaction. Nous avons donc contacté des chercheurs en sécurité pour confirmer certains détails afin de les récompenser pour avoir découvert avec succès des vulnérabilités de sécurité dans notre plateforme.
Nous leur avons ensuite demandé de fournir une description détaillée de leur activité, de créer une preuve de concept d'activité en chaîne et d'organiser le retour des fonds qu'ils avaient retirés. C’est une pratique courante avec tout programme de bug bounty. Les chercheurs en sécurité ont refusé.
Au lieu de cela, ils ont demandé à parler à leur équipe BD (c'est-à-dire leurs représentants commerciaux) et n'ont accepté de restituer aucun fonds tant que nous n'avons pas fourni un montant hypothétique des pertes possibles. Ce n’est pas du piratage au chapeau blanc, c’est de l’extorsion !
Nous avons un programme de bug bounty chez Kraken depuis près de dix ans. Le programme est géré en interne et doté à temps plein par certains des esprits les plus brillants de la communauté. Notre programme, comme beaucoup d'autres, a des règles claires :
N’extrayez pas plus que nécessaire pour prouver la vulnérabilité.
Présentez votre travail (c'est-à-dire fournissez une preuve de concept).
Tout ce qui est retiré doit être restitué immédiatement.
Nous n'avons jamais eu de problèmes à travailler avec des chercheurs légitimes et nous sommes toujours réactifs.
Dans un souci de transparence, nous révélons aujourd'hui cette vulnérabilité à l'industrie. Nous avons été accusés d'être déraisonnables et non professionnels pour avoir demandé aux « hackers au chapeau blanc » de restituer ce qu'ils nous ont volé. C'est incroyable.
En tant que chercheur en sécurité, votre licence « hacker » est activée en suivant les règles simples du programme de bug bounty auquel vous participez. Ignorer ces règles et arnaquer l'entreprise révoquera votre licence de « piratage ». Cela fait de vous et de votre entreprise un criminel.
Nous ne nommerons pas la société de recherche car ses actions ne méritent pas d’être reconnues. Nous traitons cela comme une affaire pénale et travaillons en coordination avec les forces de l'ordre. Nous apprécions le signalement de ce problème, mais c'est tout.
Notre programme de bug bounty continue de jouer un rôle important dans la mission de Kraken et constitue un élément clé de nos efforts visant à améliorer la sécurité globale de l'écosystème cryptographique. Nous sommes impatients de travailler avec les futurs acteurs de l’intégrité et considérons cela comme un événement autonome. "
CertiK a répondu
Bien que Kraken n'ait pas divulgué le nom précis de la société à laquelle appartient le chercheur en sécurité, CertiK a publié une réponse à l'incident sur la plateforme X quelques heures plus tard. Voici la réponse publiée par la plateforme X officielle de CertiK :
«CertiK a récemment découvert une série de vulnérabilités critiques dans la bourse Kraken qui pourraient entraîner des pertes de centaines de millions de dollars.
Partant de la découverte d'un problème avec le système de dépôt de Kraken, qui pourrait ne pas être en mesure de faire la distinction entre les différents statuts de transfert interne, nous avons mené une enquête approfondie en nous concentrant sur les trois problèmes suivants :
1. Un acteur malveillant peut-il simuler une transaction de dépôt sur un compte Kraken ?
2. Les acteurs malveillants peuvent-ils retirer des fonds contrefaits ?
3. Quels contrôles des risques et protections des actifs peuvent être déclenchés par des demandes de retrait importantes ?
D'après les résultats de nos tests : Kraken Exchange a échoué à tous ces tests, ce qui indique que le système de défense en profondeur de Kraken a été compromis de plusieurs manières. Des millions de dollars peuvent être déposés sur n’importe quel compte Kraken. Plus d’un million de dollars de crypto-monnaies contrefaites peuvent être retirés des comptes et convertis en crypto-monnaies valides. Pire encore, pendant la période de test de plusieurs jours, aucune alarme n'a été déclenchée. Kraken n'a répondu et verrouillé le compte de test qu'après avoir officiellement signalé l'incident.
Dès notre découverte, nous avons informé Kraken et son équipe de sécurité l'a classé comme « Critique », le niveau de classification des incidents de sécurité le plus grave de Kraken.
Après avoir initialement réussi à identifier et à corriger la vulnérabilité, l'équipe des opérations de sécurité de Kraken a menacé des employés individuels de CertiK de rembourser des montants incompatibles de crypto-monnaie dans un délai déraisonnable, sans même fournir d'adresse de remboursement.
Dans un esprit de transparence et notre engagement envers la communauté Web3, nous exposons ces informations pour protéger la sécurité de tous les utilisateurs. Nous exhortons Kraken à cesser toute menace contre les pirates informatiques.
Ensemble, nous faisons face aux risques et protégeons l'avenir du Web3. "
Plus tard, CertiK a divulgué le calendrier complet et l'adresse de dépôt.
Chronologie annoncée par CertiK. Source : CertiK officiel X
Dans le même temps, CertiK a également déclaré que, comme Kraken n'avait pas fourni d'adresse de remboursement et que le montant de remboursement requis ne correspondait pas du tout, nous avons transféré les fonds existants vers un compte auquel Kraken pouvait accéder sur la base des dossiers.
Autres nouvelles et commentaires de suivi
À en juger par les informations de base, le montant des récompenses du programme de primes aux bogues de Kraken est en effet considérable. La prime de niveau d'incident de sécurité la plus élevée similaire à cet incident se situe entre 1 million et 1,5 million de dollars américains. C'est un écart considérable par rapport aux trois millions de dollars réclamés par Kraken. Par conséquent, certaines personnes ont dit dans la zone de commentaires : « Je ne pense pas que le pirate informatique devrait le restituer. » D'autres ont répondu : « Voulez-vous prendre le million ». prime ? Aller en prison avec trois millions de gains illégaux ?
Primes du programme de primes de bogues Kraken. Source : Kraken
Le détective en chaîne ZachXBT a déclaré : Cette histoire devient de plus en plus sauvage à mesure qu'elle avance.
Un autre utilisateur de Twitter, @trading_axe, a adopté une approche différente et a déclaré : "Je pense que (CertiK) a fait une erreur... je ne dis pas qu'ils volaient, mais un voleur prendrait tout ce qu'il pouvait et s'enfuirait. Je pense qu'il a fait une erreur." Le problème, c'est qu'ils n'ont pris que trois millions de dollars ; s'ils utilisaient ce bug pour voler plus de 100 millions, alors s'ils les rendaient, ils ressembleraient à des chapeaux blancs (l'implication est que cela les ferait ressembler à un sauveur). (ayant l’initiative). Cependant, vous n’avez pris que trois millions et êtes maintenant obligé de les restituer, ce qui semble très faible.
