La société de sécurité Blockchain CertiK a confirmé qu'elle était à l'origine d'un exploit de bug qui a entraîné un retrait non autorisé de 3 millions de dollars de jetons de Kraken.

La société de sécurité blockchain CertiK, basée à New York, a admis être à l'origine d'un exploit de bug qui a entraîné un retrait non autorisé de 3 millions de dollars de jetons de l'échange crypto Kraken.

Dans un fil de discussion du 19 juin sur X, CertiK a révélé avoir identifié une série de « vulnérabilités critiques » dans l’échange de Kraken qui pourraient « potentiellement conduire à des centaines de millions de dollars de pertes ».

CertiK a récemment identifié une série de vulnérabilités critiques dans l'échange @krakenfx qui pourraient potentiellement entraîner des centaines de millions de dollars de pertes. À partir d'une découverte dans le système de dépôt de @krakenfx où il pourrait ne pas faire la différence entre les différents internes… pic.twitter.com/ JZkMXj2ZCD

– CertiK (@CertiK) 19 juin 2024

Selon CertiK, le problème a été identifié pour la première fois le 5 juin et Kraken a échoué à plusieurs tests, indiquant que le système de défense en profondeur de la bourse était « compromis sur plusieurs fronts ». La société a notamment noté qu’elle avait réussi à contourner les contrôles de risque de retrait de la bourse sans déclencher aucune alerte.

« Une énorme quantité de crypto fabriquées (d’une valeur de plus de 1 million de dollars) peut être retirée du compte et convertie en cryptos valides. Pire encore, aucune alerte n’a été déclenchée pendant la période de test de plusieurs jours. Kraken n'a répondu et verrouillé les comptes de test que quelques jours après que nous ayons officiellement signalé l'incident.

Certifié

Vous aimerez peut-être aussi : Le chef de la sécurité de Kraken révèle que le changement UX a entraîné un exploit de bug de 3 millions de dollars

Après avoir découvert les failles, CertiK affirme en avoir informé Kraken, dont l'équipe de sécurité a classé le problème comme « critique ». Cependant, après que l'exploit a été identifié et corrigé, CertiK allègue que l'équipe des opérations de sécurité de Kraken a « menacé » des employés individuels de CertiK, exigeant le remboursement d'un « montant incompatible de crypto dans un délai déraisonnable, même sans fournir d'adresses de remboursement ».

CertiK a exhorté Kraken à « cesser toute menace contre les pirates informatiques », affirmant son engagement envers la communauté web3 « dans un esprit de transparence ». Cependant, l’incident a suscité la controverse et le scepticisme au sein de la communauté blockchain, car les chercheurs de la blockchain ont souligné des divergences dans le calendrier et les affirmations de CertiK.

HAHAHHA PUTAINS DE CLOWNS Il n'y a absolument AUCUN univers où il s'agit de "recherches sur la sécurité en chapeau blanc". Kraken est incroyablement patient pour ne pas appeler cela clairement par ce que c'est : un vol de plusieurs millions de dollars avec un côté extorsion.

– Tay 💖 (@tayvano_) 19 juin 2024

Comme l'a noté Meir Dolev, directeur de la technologie de Cyvers sur son compte X, une adresse associée à CertiK a commencé une activité suspecte sur plusieurs réseaux blockchain des semaines avant que l'incident de Kraken ne soit signalé pour la première fois, soulevant des questions sur le calendrier fourni par CertiK.

Suite à l'incident @krakenfx, une activité similaire a commencé sur la base il y a 26 jours !! Le même hachage de signature est également utilisé sur Polygon il y a 14 jours. Alors devrions-nous croire la chronologie de Cetik selon laquelle ils ont trouvé la vulnérabilité seulement le 5 juin ?@tayvano_ pic.twitter.com/cvAnVrTg67

– Meir Dolev (@Meir_Dv) 19 juin 2024

Dans un article de suivi sous le fil de discussion de CertiK, le directeur de Coinbase, Conor Grogan, a souligné que les adresses associées à CertiK envoyaient une partie de la crypto retirée à Tornado Cash, un service de mixage sanctionné par l'Office of Foreign Assets Control (OFAC) du département américain du Trésor. pour avoir facilité environ 7 milliards de dollars de blanchiment de cryptomonnaies depuis 2019.

Les rapports allèguent également que les adresses associées à CertiK ont envoyé des parties de la cryptographie retirée à ChangeNOW, un échange cryptographique non dépositaire. Au moment de mettre sous presse, CertiK n'a fait aucune déclaration publique sur les raisons pour lesquelles il a interagi avec Tornado Cash et ChangeNOW, bien qu'il prétende avoir restitué tous les jetons retirés à Kraken.

Lire la suite : Telegram réfute l'allégation de risque de sécurité du téléchargement automatique de CertiK