CertiK Identifies Itself As Security Researcher Kraken Claims Stole $3M in Assets

Crypto Daily™ · 2024-06-20T09:03:04.000Z

Blockchain security firm CertiK has identified itself as the security researcher Kraken is claiming stole nearly $3 million worth of digital assets. Kraken suffered a bug attack less than two weeks ago, losing nearly $3 million. At the time, the cryptocurrency exchange stated it was treating the incident as a criminal case and would coordinate with law enforcement agencies. The Kraken Attack On June 9, cryptocurrency exchange Kraken revealed it had suffered an exploit that saw the platform lose $3 million worth of assets. According to a report shared by Kraken’s Chief Security Officer, Nicholas Percoco, the platform received a bug bounty program alert from a security researcher claiming to have found an extremely critical bug that allowed them to inflate their balance on Kraken artificially. “On June 9, 2024, we received a bug bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.” Percoco stated that upon further investigation, they discovered an isolated bug that gave the bad actor significant privileges, allowing them to initiate a deposit on Kraken and receive funds in their account even without completing their deposit. The vulnerability, originating after a recent UX change on Kraken, allowed the attacker to “print assets” in their Kraken account. Kraken stated that the flaw was patched, and no client funds were compromised. Kraken claimed that a further investigation revealed that the security researcher had shared the bug with two colleagues, who had used it to gain significant funds fraudulently. CertiK Identifies Itself As Security Researcher Now, blockchain security firm CertiK has identified itself as the security researcher Kraken claims stole $3 million worth of digital assets. In a post on X, CertiK stated it had informed Kraken about an exploit that allowed it to remove millions from the exchange’s accounts. “CertiK recently identified a series of critical vulnerabilities in @krakenfx exchange, which could potentially lead to hundreds of millions of dollars in losses. Upon discovery, we informed Kraken, whose security team classified it as Critical: the most serious classification level at Kraken.” The blockchain security firm claimed Kraken’s security operations team threatened CertiK employees. “After initial successful conversions on identifying and fixing the vulnerability, Kraken’s security operation team has THREATENED individual CertiK employees to repay a MISMATCHED amount of crypto in an UNREASONABLE time even WITHOUT providing repayment addresses. In the spirit of transparency and our commitment to the Web3 community, we are going public to protect all users’ security. We urge [Kraken] to cease any threats against white hat hackers.” CertiK also posted a timeline of events, beginning with identifying the exploit on June 5 and ending with Kraken threatening CertiK employees on June 18. The security firm added that it would also transfer the funds to an account that Kraken would be able to access. Crypto Community Supporting Kraken Reactions from many in the crypto community seemed to favor Kraken, claiming that CertiK’s actions did not align with how white hat hackers would have conducted themselves. However, it is unclear if Kraken plans to pursue legal action or has grounds to do so. “Certik just admitted to being the security firm that stole from Kraken and is trying to extort them for more of a payment. Given how often Certik audits get hacked and now this, it’s wild that they still exist. Downright criminal.” CertiK has previously identified significant vulnerabilities in the Wormhole Bridge and the Telegram app. The firm had reported that around $1 billion in digital assets were lost to illegal activities in 2023. Disclaimer: This article is provided for informational purposes only. It is not offered or intended to be used as legal, tax, investment, financial, or other advice.

La société de sécurité Blockchain CertiK s'est identifiée comme étant le chercheur en sécurité que Kraken prétend avoir volé près de 3 millions de dollars d'actifs numériques. 
Kraken a subi une attaque de bug il y a moins de deux semaines, perdant près de 3 millions de dollars. À l’époque, la bourse de crypto-monnaie avait déclaré qu’elle traitait l’incident comme une affaire pénale et qu’elle se coordonnerait avec les forces de l’ordre. 
L'attaque du Kraken 
Le 9 juin, l'échange de crypto-monnaie Kraken a révélé avoir subi un exploit qui a vu la plateforme perdre 3 millions de dollars d'actifs. Selon un rapport partagé par le responsable de la sécurité de Kraken, Nicholas Percoco, la plateforme a reçu une alerte du programme de bug bounty d'un chercheur en sécurité affirmant avoir trouvé un bug extrêmement critique qui lui a permis de gonfler artificiellement son solde sur Kraken. 
« Le 9 juin 2024, nous avons reçu une alerte du programme de bug bounty de la part d'un chercheur en sécurité. Aucun détail n'a été initialement divulgué, mais leur e-mail prétendait trouver un bug « extrêmement critique » qui leur permettait de gonfler artificiellement leur solde sur notre plateforme.
Percoco a déclaré qu'après une enquête plus approfondie, ils ont découvert un bug isolé qui donnait aux mauvais acteurs des privilèges importants, leur permettant d'initier un dépôt sur Kraken et de recevoir des fonds sur leur compte même sans terminer leur dépôt. La vulnérabilité, apparue après un récent changement d'UX sur Kraken, a permis à l'attaquant d'« imprimer des actifs » dans son compte Kraken. Kraken a déclaré que la faille avait été corrigée et qu'aucun fonds de client n'avait été compromis. Kraken a affirmé qu'une enquête plus approfondie a révélé que le chercheur en sécurité avait partagé le bug avec deux collègues, qui l'avaient utilisé pour gagner frauduleusement des fonds importants. 
CertiK s'identifie comme chercheur en sécurité
Aujourd'hui, la société de sécurité blockchain CertiK s'est identifiée comme étant le chercheur en sécurité que Kraken prétend avoir volé 3 millions de dollars d'actifs numériques. Dans un article sur X, CertiK a déclaré avoir informé Kraken d'un exploit qui lui avait permis de supprimer des millions de dollars des comptes de la bourse. 
«CertiK a récemment identifié une série de vulnérabilités critiques dans l'échange @krakenfx, qui pourraient potentiellement entraîner des centaines de millions de dollars de pertes. Dès sa découverte, nous en avons informé Kraken, dont l'équipe de sécurité l'a classé comme Critique : le niveau de classification le plus sérieux chez Kraken.
La société de sécurité blockchain a affirmé que l’équipe des opérations de sécurité de Kraken avait menacé les employés de CertiK. 
«Après des premières conversions réussies pour identifier et corriger la vulnérabilité, l'équipe des opérations de sécurité de Kraken a MENACÉ des employés individuels de CertiK de rembourser un montant INARABLE de crypto dans un délai DÉRAISONNABLE, même SANS fournir d'adresses de remboursement. Dans un esprit de transparence et notre engagement envers la communauté Web3, nous rendons public notre information pour protéger la sécurité de tous les utilisateurs. Nous exhortons [Kraken] à cesser toute menace contre les pirates informatiques.
CertiK a également publié une chronologie des événements, commençant par l'identification de l'exploit le 5 juin et se terminant par les menaces de Kraken contre les employés de CertiK le 18 juin. La société de sécurité a ajouté qu'elle transférerait également les fonds vers un compte auquel Kraken pourrait accéder. 
Communauté Crypto prenant en charge Kraken 
Les réactions de nombreux membres de la communauté cryptographique semblaient favoriser Kraken, affirmant que les actions de CertiK ne correspondaient pas à la façon dont les pirates informatiques au chapeau blanc se seraient comportés. Cependant, il n'est pas clair si Kraken envisage d'engager une action en justice ou s'il a des raisons de le faire. 
«Certik vient d'admettre être la société de sécurité qui a volé Kraken et tente de lui extorquer une somme plus importante. Étant donné la fréquence à laquelle les audits Certik sont piratés et maintenant, c’est fou qu’ils existent toujours. Franchement criminel. »
CertiK a déjà identifié des vulnérabilités importantes dans Wormhole Bridge et l'application Telegram. La société avait signalé qu’environ 1 milliard de dollars d’actifs numériques avaient été perdus à cause d’activités illégales en 2023.
Avertissement : cet article est fourni à titre informatif uniquement. Il n’est pas proposé ni destiné à être utilisé comme conseil juridique, fiscal, d’investissement, financier ou autre.

CertiK s'identifie comme étant le chercheur en sécurité Kraken affirme avoir volé 3 millions de dollars d'actifs

Découvrez-en plus sur le créateur

Dernières actualités