Crypto Exchange Kraken perd 3 millions de dollars à cause d'une faille de sécurité exploitée

Le post Crypto Exchange Kraken perd 3 millions de dollars à cause d'une faille de sécurité exploitée apparaît en premier sur Coinpedia Fintech News

Kraken, première plateforme de trading de crypto au monde, a récemment admis avoir été victime d'une attaque qui a réussi à exploiter une vulnérabilité Zero Day pour voler des crypto d'une valeur de plusieurs millions.

L'exploit dévoilé

Kraken a reçu un e-mail de son chercheur Bug Bounty le 9 juin 2024, qui l'a alerté d'une grave vulnérabilité du réseau. La faille a permis à un attaquant de manipuler les chiffres du bilan sur le site à un niveau non supporté par les fonds réels, comme l'a expliqué le responsable de la sécurité de Kraken, Nick Percoco. 

Cette vulnérabilité critique a permis à l'attaquant d'effectuer des dépôts et de retirer de l'argent sur son compte alors qu'il n'avait pas encore terminé le processus de dépôt.

Réponse rapide mais pas assez rapide

Kraken a pu répondre à l'alerte et éliminer le problème de sécurité en 47 minutes. Le problème était dû à une nouvelle interface utilisateur introduite il y a quelque temps qui permettait aux clients d'effectuer des dépôts et d'utiliser l'argent avant que les dépôts ne soient identifiés par la chambre de compensation, le cas échéant. 

Alors que Kraken a déclaré qu'aucun argent de client n'avait été perdu lors de l'infiltration, le bug a permis à des personnes mal intentionnées de déposer et de retirer de faux espèces.

Dans ce cas, trois comptes ont commencé à tenter le même mouvement en une semaine et tous ont tenté de transférer 3 millions de dollars hors de l'échange. Parmi ceux-ci, un compte appartenait au chercheur en sécurité qui a récemment signalé ce bug.

Quant à la première vulnérabilité identifiée, Percoco a commenté qu'une personne qui cherchait à l'exploiter avait investi 4 $ en crypto pour illustrer le problème et que cela pourrait suffire pour un rapport de bug bounty et une récompense ultérieure. Cependant, le chercheur a décidé de donner les détails du bug à deux autres participants, collectivement, qui ont réussi à voler près de 3 millions de dollars dans les trésors de Kraken.

Dilemme éthique ou extorsion ?

Lorsque Kraken a contacté les individus pour leur restituer les fonds volés et leur fournir une preuve de concept (PoC), les chercheurs ont exigé un paiement en échange du retour des actifs. Percoco a condamné ce comportement comme étant de l'extorsion, soulignant qu'il violait les principes éthiques du piratage informatique.

Kraken traite l'incident comme une affaire pénale et se coordonne avec les forces de l'ordre.

Lisez aussi : CHOQUANT : les escroqueries cryptographiques liées au « bouchage de porcs » en hausse ! Ce que vous devriez savoir