La société de sécurité Blockchain CertiK a récemment révélé une grave vulnérabilité découverte dans l'échange de crypto-monnaie Kraken et la controverse qui a suivi. Pendant ce temps, CertiK a fermement nié les accusations d’extorsion de Kraken et a déclaré qu’il restituerait les fonds utilisés pour les tests.
Découverte des vulnérabilités et mesures prises
CertiK a déclaré que ses chercheurs avaient découvert le 5 juin une vulnérabilité dans le système de dépôt de Kraken qui pourrait permettre à des acteurs malveillants de simuler des transactions de dépôt et de retirer de faux fonds. CertiK a immédiatement lancé une enquête approfondie et une série de tests pour vérifier le risque réel de vulnérabilité.
Les tests de CertiK ont révélé un résultat surprenant : des millions de dollars pouvaient être déposés sur n'importe quel compte Kraken, et plus d'un million de dollars de cryptomonnaie contrefaite pouvaient être retirés et convertis en monnaie valide. Durant plusieurs jours de tests, ces actions n’ont déclenché aucune alerte. Kraken n'a répondu à l'incident que quelques jours plus tard et a verrouillé le compte de test.
Litiges survenus et pertes causées
Bien que CertiK et Kraken aient initialement réussi à communiquer et à prendre des mesures pour corriger la vulnérabilité, la situation s'est ensuite aggravée. Le 18 juin, Kraken a été accusé d'avoir menacé les employés de CertiK, exigeant le remboursement de montants « sans contrepartie » dans un délai déraisonnable, sans fournir les adresses de portefeuille concernées.
Nick Percoco, responsable de la sécurité de Kraken, a révélé le 19 juin que près de 3 millions de dollars avaient été perdus dans son portefeuille en raison de cette vulnérabilité. Il a noté que le 9 juin, Kraken avait reçu une information anonyme d'un « chercheur en sécurité » révélant une grave vulnérabilité dans le système de financement. Kraken a découvert que trois comptes exploitaient cette vulnérabilité en peu de temps.
Plan de réponse et de remboursement de CertiK
CertiK a nié les accusations d'extorsion de Kraken et a déclaré que, comme Kraken n'avait pas fourni d'adresse de remboursement et que les montants demandés ne correspondaient pas, CertiK transférerait les fonds sur un compte auquel Kraken a accès sur la base des dossiers. CertiK a souligné que les fonds étaient destinés à des « tests de chapeau blanc ».
Kraken accuse CertiK d'agir de manière contraire à l'éthique et prétendument criminelle parce que CertiK a refusé la demande de Kraken de restituer les fonds et de fournir des données. Au lieu de cela, CertiK a organisé une réunion avec Kraken pour discuter de la détermination du montant de la récompense en fonction des pertes potentielles dues à la non-divulgation. #CertiK #Kraken #敲诈勒索 #指控 #交易所漏洞
Conclusion
L’incident a non seulement mis en évidence la vulnérabilité des échanges de cryptomonnaies en termes de sécurité, mais a également déclenché des discussions sur les limites éthiques et juridiques de la recherche en matière de sécurité.
Le différend entre CertiK et Kraken pourrait avoir des conséquences durables sur la confiance et la coopération dans l’espace de sécurité de la blockchain. À mesure que les questions juridiques et éthiques deviennent plus claires, les développements de cet incident continueront d'être surveillés de près, tant au sein qu'à l'extérieur de l'industrie.