Dans cet article, nous parlons d'une histoire incroyable : il y a quelques jours, la société d'audit Certik a identifié une faille dans les systèmes de sécurité de l'échange crypto Kraken qui pourrait conduire à un grave piratage.
Après avoir effectué quelques tests pendant 3 jours et exécuté une attaque de « hack blanc » d'une valeur de 3 millions de dollars, Certik a contacté Kraken pour l'informer du bug, mais a dans un premier temps refusé de restituer immédiatement la somme volée.
L'échange en crypto a immédiatement contacté les forces de l'ordre, traitant la situation comme une affaire pénale, tandis que la société de sécurité cryptographique insiste sur le fait qu'il s'agit d'un test typique d'un « programme de primes ». Maintenant, les fonds semblent avoir été restitués.
Voyons tout en détail ci-dessous.
Piratage de 3 millions de dollars contre l'échange crypto Kraken : Certik est responsable, mais refuse de restituer l'argent
Cette histoire commence le 9 juin 2024, lorsque l’échange crypto Kraken reçoit une communication informelle d’un « chercheur en sécurité » qui affirme avoir découvert une vulnérabilité sur la plateforme qui aurait pu provoquer un piratage à grande échelle.
Comme le rapporte dans un tweet post-mortem de Nick Percoco, directeur de la sécurité de Kraken, le chercheur avait mis en évidence une faille dans les systèmes de sécurité des dépôts (impossible de distinguer les différents états de transfert interne), qui permet aux utilisateurs de gonfler leur solde et retirer plus de pièces qu’ils n’en ont réellement disponibles. L'échange a immédiatement pris des mesures pour résoudre le problème et en seulement 47 minutes, une équipe d'experts a réussi à corriger le bug.
Voici ce que Percoco a rapporté :
« Le bug a permis à un attaquant malveillant, dans de bonnes circonstances, d'initier un dépôt sur notre plateforme et de recevoir des fonds sur son compte sans finaliser complètement le dépôt. Pour être clair, aucun actif client n’a jamais été menacé. »
Mise à jour de sécurité Kraken :
Le 9 juin 2024, nous avons reçu une alerte du programme Bug Bounty de la part d'un chercheur en sécurité. Aucun détail n'a été initialement divulgué, mais leur e-mail prétendait trouver un bug « extrêmement critique » qui leur permettait de gonfler artificiellement leur solde sur notre plateforme.
– Nick Percoco (@c7five) 19 juin 2024
Jusqu'à présent, tout est normal, sauf que la même société de sécurité web3 où travaille le chercheur qui a contacté Kraken, avant de signaler officiellement le bug, aurait effectué plusieurs hacks sur la plateforme pour un total de 3 millions de dollars.
Immédiatement après la publication du message de Percoco, le célèbre cabinet d’audit Certik a immédiatement assumé la responsabilité de l’incident et révélé son rôle crucial dans cette affaire.
Certik aurait « testé » les mécanismes de défense de Kraken en menant une attaque à grande échelle, et en retirant de grandes quantités de tokens MATIC de 3 comptes différents, puis en nettoyant les traces des fonds via le mélangeur Tornado Cash.
Comme l'a expliqué le responsable de la sécurité de la bourse, après avoir résolu le problème, Kraken a demandé à Certik de restituer les fonds, mais elle a d'abord refusé.
Malgré cela, Certik insiste sur le fait que son activité s’inscrit dans les principes du « white hack ».
Apparemment, Certik n'a pas mentionné le rôle de l'exploiteur du compte 3 dans l'incident, bien qu'il ait effectué les tests de retrait dans les 3 jours précédant les communications avec Kraken.
Le chercheur en sécurité qui a repéré le bug aurait demandé une prime substantielle pour avoir identifié une faille majeure qui aurait pu imploser en un piratage lourd, mais Kraken a insisté pour récupérer ses fonds.
Étant donné que la société d'audit a refusé de restituer le butin et semble avoir décidé de cacher les preuves du piratage, la bourse a décidé de traiter la situation comme s'il s'agissait d'une affaire pénale en informant les autorités compétentes et les forces de l'ordre.
La société de sécurité web3 avait demandé à l'échange une prime égale au montant supposé que ce bug aurait pu causer s'il n'avait pas été divulgué, exaspérant l'équipe de la plateforme d'échange.
Percoco a commenté ce qui s'est passé sur son profil X, montrant toute son opposition au comportement de Certik :
"Ce n'est pas du piratage blanc, c'est de l'extorsion".
Nous ne divulguerons pas cette société de recherche car elle ne mérite pas d’être reconnue pour ses actions. Nous traitons cette affaire comme une affaire pénale et nous coordonnons en conséquence avec les forces de l'ordre. Nous sommes reconnaissants que ce problème ait été signalé, mais c’est là que s’arrête cette réflexion.
– Nick Percoco (@c7five) 19 juin 2024
Le démenti de Certik : fonds restitués malgré que certains salariés aient reçu des menaces de la part de l'équipe Kraken
Certik, après s'être présenté comme la société chargée d'identifier la faille dans les systèmes de dépôt, a immédiatement démenti ce que Kraken a rapporté, soulignant son rôle de « white hack » et ses intentions positives.
La société a révélé qu'elle avait mis en place un piratage à grande échelle, pour un montant de 3 millions de dollars, dans le seul but de tester la défense de l'échange, mais elle a également souligné qu'elle n'a jamais refusé de restituer le butin mais voulait plutôt s'assurer que tout a été exécuté correctement.
Certik s’est dite étonnée par l’impact négatif potentiel que le bug aurait pu provoquer, mais surtout par le fait que les alarmes du Kraken ne se sont jamais déclenchées. Cela a été déclaré dans un post :
« Des millions de dollars peuvent être déposés sur N'IMPORTE QUEL compte Kraken. Une énorme quantité de crypto (d’une valeur de plus de 1 million de dollars) peut être retirée du compte et convertie en cryptos valides. Pire encore, pendant la période de test de plusieurs jours, aucune alerte n'a été déclenchée ».
Par ailleurs, le cabinet d'audit a expliqué qu'un membre de l'équipe d'échange avait menacé son propre chercheur de restituer le montant dans un délai déraisonnable (6 heures), sans toutefois fournir d'adresse de remboursement.
Cela a eu lieu quelques jours après le piratage, les deux sociétés ont eu un appel pour tenter de trouver une solution et résoudre le problème.
CertiK a récemment identifié une série de vulnérabilités critiques dans l'échange @krakenfx qui pourraient potentiellement entraîner des centaines de millions de dollars de pertes.
À partir d'une découverte dans le système de dépôt de @krakenfx où il peut ne pas faire la différence entre les différents internes… pic.twitter.com/JZkMXj2ZCD
– CertiK (@CertiK) 19 juin 2024
Apparemment, ce qui a déclenché le chaos était le montant de la prime proposée par Kraken, qui n'a pas été jugé approprié par rapport à l'effort fourni et à l'exploit potentiel empêché. Comme l'a rapporté un porte-parole de Kraken à Coindesk :
« Nous avons impliqué ces chercheurs de bonne foi et, après une décennie de gestion d'un programme de bug bounty, nous leur avons offert une prime considérable pour leurs efforts. Nous sommes déçus par cette expérience et travaillons désormais avec les forces de l'ordre pour récupérer les avoirs de ces chercheurs en sécurité ».
Aujourd'hui, Certik a publié un autre article contenant des FAQ pour clarifier davantage sa position et lever tout doute.
La société de sécurité réitère qu’elle a « systématiquement » confirmé qu’elle restituerait le montant volé et déclare que désormais tous les fonds sont de nouveau entre les mains de Kraken.
Ces fonds ont été renvoyés à l'expéditeur en 734,19215 ETH, 29 001 USDT et 1021,1 XMR, alors que la bourse avait expressément demandé d'envoyer 155818,4468 MATIC, 907400,1803 USDT, 475,5557871 ETH et 1089,794737 XMR, pour une valeur totale équivalente supérieure d'environ 100 000 dollars .
Questions et réponses sur les récentes opérations Whitehat de CertiK-Kraken :
1. Un utilisateur réel a-t-il perdu des fonds ?
Les cryptos ont été créées à partir de rien et aucun actif réel d’utilisateur de Kraken n’a été directement impliqué dans nos activités de recherche.
2. Avons-nous refusé de restituer les fonds ?
Non. Dans notre communication avec…
– CertiK (@CertiK) 20 juin 2024
Kraken reste ferme sur sa conception éthique du « white hacking » et maintient que le harcèlement perpétré par Certik peut être identifié comme de l'extorsion.
Le programme Bounty de l'échange exige en effet que des tiers trouvent le problème, exploitent le montant minimum nécessaire pour tester le bug (sans exécuter un hack de 3 millions de dollars), restituent les ressources et fournissent des détails sur la vulnérabilité.