Kraken récupère 3 millions de dollars de fonds manquants après un exploit de Bug Bounty

L'échange de crypto-monnaie Kraken a réussi à récupérer près de 3 millions de dollars d'actifs numériques à la suite d'un exploit de bug bounty très médiatisé par CertiK. Nicholas Percoco, responsable de la sécurité de Kraken, a confirmé la récupération dans un article du 20 juin sur X, déclarant : "Mise à jour : nous pouvons maintenant confirmer que les fonds ont été restitués (moins un petit montant perdu en raison des frais)." Cette annonce intervient après que Percoco a initialement révélé la disparition des fonds le 19 juin, attribuant l'incident à un « chercheur en sécurité » qui avait exploité un bug.

Kraken a allégué que le chercheur en sécurité avait extorqué l'échange, refusant de restituer les fonds sans récompense. La société de sécurité blockchain CertiK s'est rapidement identifiée comme le « chercheur en sécurité » impliqué dans l'incident. Dans un article X du 19 juin, CertiK a expliqué avoir informé Kraken d'un exploit qui a permis le retrait de millions de dollars des comptes de la bourse. CertiK a en outre affirmé que Kraken avait menacé ses employés de rembourser le montant non concordant de crypto dans un délai déraisonnable, sans fournir d'adresses de remboursement.

La saga a soulevé des questions sur la nécessité du retrait de près de 3 millions de dollars. Percoco a initialement noté qu'un simple transfert de 4 $ aurait suffi pour prouver le bug et avoir droit à une récompense importante du programme de primes de Kraken. Cependant, CertiK a défendu ses actions, expliquant que cette somme importante faisait partie d'un effort visant à tester les limites de la sécurité et des contrôles des risques de Kraken. "Nous voulons tester la limite de la protection et des contrôles des risques de Kraken. Après plusieurs tests sur plusieurs jours et près de 3 millions de dollars de crypto, aucune alerte n'a été déclenchée et nous n'avons toujours pas déterminé la limite", a déclaré CertiK.

CertiK a également précisé qu'elle n'avait pas initialement demandé de prime ; au lieu de cela, Kraken avait mentionné la prime en premier. "Nous n'avons jamais mentionné de demande de prime. C'est Kraken qui nous a le premier mentionné sa prime, tandis que nous avons répondu que la prime n'était pas le sujet prioritaire et que nous voulions nous assurer que le problème était résolu", a expliqué CertiK. Ils ont ajouté qu'aucun fonds d'utilisateur de Kraken n'était en danger puisque les fonds exploités avaient été « créés à partir de rien ».