TLDR
Kraken a découvert un bug qui permettait aux utilisateurs de gonfler artificiellement leurs soldes et de retirer des fonds sans effectuer de dépôts.
CertiK, une société de sécurité blockchain, s'est identifiée comme le « chercheur en sécurité » qui a exploité le bug et retiré près de 3 millions de dollars des trésoreries de Kraken.
Kraken affirme que CertiK a refusé de restituer les fonds jusqu'à ce que la bourse fournisse une estimation des pertes potentielles, la qualifiant d'« extorsion ».
CertiK a défendu ses actions en déclarant qu'il testait l'étendue de la vulnérabilité et que Kraken avait menacé ses employés de restituer un montant de fonds incompatible dans un délai déraisonnable.
L’incident a déclenché un débat sur l’éthique du piratage au chapeau blanc et des programmes de bug bounty dans l’industrie des cryptomonnaies.
L'échange de crypto-monnaie Kraken a récemment révélé qu'il avait été victime d'une faille de sécurité qui permettait aux utilisateurs de gonfler artificiellement le solde de leurs comptes et de retirer des fonds sans finaliser leurs dépôts. La bourse a rapporté que près de 3 millions de dollars avaient été volés dans ses trésoreries à la suite de cet exploit.
La société de sécurité Blockchain CertiK s'est manifestée, s'identifiant comme le « chercheur en sécurité » responsable de l'exploitation du bug et du retrait des fonds.
Le chef de la sécurité de Kraken, Nick Percoco, avait précédemment accusé l'équipe de sécurité alors anonyme d'« extorsion » pour avoir refusé de restituer les fonds jusqu'à ce que l'échange fournisse une estimation des pertes potentielles si le bug n'était pas divulgué.
Mise à jour de sécurité Kraken :
Le 9 juin 2024, nous avons reçu une alerte du programme Bug Bounty de la part d'un chercheur en sécurité. Aucun détail n'a été initialement divulgué, mais leur e-mail prétendait trouver un bug « extrêmement critique » qui leur permettait de gonfler artificiellement leur solde sur notre plateforme.
– Nick Percoco (@c7five) 19 juin 2024
CertiK a cependant défendu ses actions, affirmant qu'elle avait testé l'étendue de la vulnérabilité et que Kraken avait menacé ses employés de restituer un montant de fonds incompatible dans un délai déraisonnable, sans même fournir d'adresse de remboursement.
CertiK a récemment identifié une série de vulnérabilités critiques dans l'échange @krakenfx qui pourraient potentiellement entraîner des centaines de millions de dollars de pertes.
À partir d'une découverte dans le système de dépôt de @krakenfx où il peut ne pas faire la différence entre les différents internes… pic.twitter.com/JZkMXj2ZCD
– CertiK (@CertiK) 19 juin 2024
La société de sécurité a fourni une chronologie des événements, détaillant ses interactions avec Kraken et la découverte de l'exploit.
Selon CertiK, la vulnérabilité permettait de déposer des millions de dollars sur n'importe quel compte Kraken, avec la possibilité de retirer et de convertir la crypto fabriquée en crypto-monnaies valides.
La société a également affirmé qu'aucune alerte n'avait été déclenchée au cours de sa période de test de plusieurs jours, et Kraken n'avait répondu et verrouillé les comptes de test que quelques jours après la divulgation initiale.
L'incident a déclenché un débat sur l'éthique du piratage informatique et sur l'efficacité des programmes de bug bounty.
Alors que certains soutiennent que les actions de CertiK étaient justifiées dans l’intérêt de tester minutieusement la vulnérabilité, d’autres estiment que l’entreprise a franchi une limite en retirant une somme d’argent aussi importante et en refusant de la restituer rapidement.
Kraken maintient que les actions de CertiK ne sont pas conformes aux principes du piratage au chapeau blanc et qu'il travaille avec les forces de l'ordre pour récupérer les actifs. L’échange a également souligné qu’aucun fonds d’utilisateur n’était affecté par l’exploit, car l’argent volé provenait des propres trésors de Kraken.
L'article Bug Bounty Gone Wrong : Kraken accuse CertiK d'extorsion, CertiK défend ses actions est apparu en premier sur Blockonomi.