CertiK, la société de sécurité des contrats intelligents, continue d'affirmer que ses actions contre l'échange Kraken étaient éthiques et qu'elle essayait d'évaluer toute l'ampleur des failles de sécurité. Les testeurs affirment également avoir restitué tous les fonds en nature et n'avoir pas extorqué Kraken.
L'équipe CertiK a développé une nouvelle déclaration pour réfuter certaines affirmations précédentes de Kraken. Les testeurs ont rejeté les demandes de prime, affirmant que leur priorité était de corriger la vulnérabilité liée à la possibilité d'imprimer des fonds sur un compte.
Lire : Kraken récupère 3 millions de dollars alors que les critiques se multiplient contre Certik
Tous les fonds retirés provenaient des portefeuilles froids de Kraken et aucun compte d’utilisateur n’a été affecté. Les pièces ont été restituées sur la base des propres calculs et enregistrements de transactions de CertiK.
Questions et réponses sur les récentes opérations Whitehat de CertiK-Kraken : 1. Un utilisateur réel a-t-il perdu des fonds ? Non. Les cryptos ont été créées à partir de rien et aucun actif réel d’utilisateur de Kraken n’a été directement impliqué dans nos activités de recherche.2. Avons-nous refusé de restituer les fonds ?Non. Dans notre communication avec…
– CertiK (@CertiK) 20 juin 2024
L'action la plus controversée de CertiK concernait l'envoi de fonds à Tornado Cash. Le mélangeur de pièces a déjà fait l'objet de sanctions de la part du Département du Trésor américain, qui interdisait aux personnes domiciliées aux États-Unis d'interagir avec lui.
CertiK est bien conscient de l'utilisation de Tornado Cash et a inclus les transferts comme preuve de son exploit. Auparavant, CertiK suivait également l'utilisation de Tornado Cash dans le cadre d'exploits plus anciens. L’un des principaux objectifs de Certik reste l’audit des contrats intelligents, qui contiennent souvent des failles logiques similaires conduisant à une création illimitée de jetons.
L’approche de CertiK en matière de piratage éthique a énervé les observateurs, car de petites sommes ont été envoyées directement à Tornado Cash pour tester l’exploit. Certaines étapes du processus de test de Kraken ont été divulguées sur les réseaux sociaux avant que Kraken ne l'informe finalement de l'ampleur réelle de l'exploit.
La question d'une prime aux bogues n'a pas été discutée, mais CertiK continue d'affirmer qu'il n'avait pas besoin d'une prime pour restituer les fonds. Jusqu’à présent, l’équipe de sécurité de Kraken n’a annoncé aucune prime pour CertiK.
Kraken admet avoir reçu tous les fonds
CertiK a généré des soldes sur la plateforme centralisée Kraken et effectué des retraits au nom de ces comptes.
Les affirmations de Kraken selon lesquelles CertiK était inexact dans ses résultats étaient les plus controversées. Mais cette affirmation a été démentie quelques jours plus tard. Nick Percoco, responsable de la sécurité de Kraken, a annoncé que les fonds avaient été entièrement restitués, moins les frais de transaction.
Mise à jour : nous pouvons maintenant confirmer que les fonds ont été restitués (moins un petit montant perdu en raison des frais). https://t.co/cHkjPt3m2A
– Nick Percoco (@c7five) 20 juin 2024
La comptabilité de CertiK n'a signalé que des retraits d'ETH, d'USDT et de XMR, tandis que Kraken a également affirmé que 155 818,44 MATIC avaient également été retirés et mélangés. Les retraits ont été estimés à environ 3 millions de dollars, bien que Certik ait utilisé une petite somme pour prouver l'exploit.
Une analyse plus approfondie de l'exploit a montré que CertiK a généré des soldes MATIC inexistants, mais que les transactions ont échoué et qu'aucun fonds n'a quitté les portefeuilles froids de Kraken. Le MATIC généré n'était qu'un exploit interne qui n'a pas abouti au transfert de vrais jetons Polygon.
#Certik : À première vue, il semble que l'exploit de Certik consiste à :1. Créer un contrat et y déposer des fonds2. Génération de l'événement LogFeeTransfer()3. @krakenfx scanne LogFeeTransfer() sur ses adresses de dépôt et ne semble pas vérifier si les MATIC sont vraiment là pic.twitter.com/QI4bdXJdbz
— Naïm Boubziz (@BrutalTrade) June 20, 2024
Dans certains cas, la présence de fonds peut être simulée, car d’autres protocoles ont été attaqués avec des prêts flash.
CertiK a affirmé que les exploits avaient repris en juin, avec plus de 30 millions de dollars prélevés sur les applications et les protocoles. Le décompte n’inclut pas les attaques contre des portefeuilles individuels.
Tornado Cash est toujours opérationnel des années après les sanctions
Le mélangeur Tornado Cash facilite toujours les exploits, car les fonds sont intraçables après leur passage dans le mélangeur. Même après avoir mis les portefeuilles et les adresses sur liste noire, rien n'empêche les pirates de mélanger l'ETH et de l'envoyer vers de nouveaux portefeuilles inconnus.
A lire aussi : Le groupe à l'origine du procès Tornado Cash perd face au Trésor américain
Depuis 2022, Tornado Cash dispose de ressources limitées, mais le service est toujours opérationnel.
Le fondateur de Tornado Cash, Alexey Pertsev, a été condamné en mai 2024, avec des années potentielles de prison. Pourtant, les sanctions et interdictions n’empêchent personne d’utiliser le mixeur, ce qui n’affecte pas les juridictions en dehors des États-Unis.
Certaines pièces, comme l'USDC, ont mis sur liste noire tous les contrats Tornado Cash. Les fonds envoyés au contrat ne pourront pas être récupérés à nouveau. L'USDC est également connu pour sa capacité centralisée à geler les pièces. Pour Kraken, la possibilité de se retirer vers une adresse de contrat Tornado Cash était également une vulnérabilité majeure. La plupart des producteurs de jetons choisissent de ne pas exercer de contrôle sur les jetons, les laissant vulnérables au vol et irrécupérables par mélange.
Reportage cryptopolitain de Hristina Vasileva