CertiK, un leader en matière de sécurité des contrats intelligents, a publié une déclaration contestant les allégations précédentes de l'échange de crypto-monnaie Kraken. Il insiste sur le fait que ses actions étaient éthiquement saines et axées sur l’identification des vulnérabilités en matière de sécurité. 

La société a affirmé avoir restitué tous les fonds extraits lors du test et a nié toute extorsion ou demande de prime. Cette annonce intervient dans le cadre des efforts continus de l’entreprise pour améliorer la sécurité de la blockchain grâce à des tests et des audits rigoureux.

Procédures de test détaillées et récupération des fonds

La récente clarification de CertiK souligne que l'opération visait à découvrir d'éventuelles failles de sécurité qui pourraient permettre la création non autorisée de fonds dans les comptes d'utilisateurs. Tout au long de la phase de test, CertiK n'a pu retirer des fonds que des portefeuilles froids de Kraken, garantissant ainsi qu'aucun actif de l'utilisateur n'était compromis. Les actifs restitués ont été méticuleusement calculés sur la base des journaux de transactions détaillés tenus par CertiK.

Questions et réponses sur les récentes opérations Whitehat de CertiK-Kraken : 1. Un utilisateur réel a-t-il perdu des fonds ? Non. Les cryptos ont été créées à partir de rien et aucun actif réel d’utilisateur de Kraken n’a été directement impliqué dans nos activités de recherche.2. Avons-nous refusé de restituer les fonds ?Non. Dans notre communication avec…

– CertiK (@CertiK) 20 juin 2024

CertiK a également reconnu avoir transféré des sommes mineures à Tornado Cash, un mélangeur de pièces précédemment sanctionné par le Trésor américain, pour démontrer le potentiel de l'exploit. Cette méthode de test faisait partie de la stratégie plus large de CertiK visant à exposer des vulnérabilités similaires à celles trouvées dans d’autres contrats intelligents qui ont conduit à des failles de sécurité importantes.

Transparence et considérations éthiques

Malgré la nature spéculative de ses méthodes de test, qui incluaient des fuites publiques de procédures spécifiques sur les réseaux sociaux, CertiK reste convaincu que son objectif principal était la correction de la faille plutôt que le gain financier. 

La question de la prime a été explicitement abordée, CertiK déclarant que leurs actions n'étaient pas motivées par des récompenses monétaires. L’équipe de sécurité de Kraken n’a pas encore annoncé de bug bounty lié à cet incident, renforçant les affirmations de CertiK en matière de conduite éthique.

Mise à jour : nous pouvons maintenant confirmer que les fonds ont été restitués (moins un petit montant perdu en raison des frais). https://t.co/cHkjPt3m2A

– Nick Percoco (@c7five) 20 juin 2024

Kraken a initialement contesté l'exactitude des fonds restitués, soulignant notamment une prétendue divergence impliquant 155 818,44 jetons MATIC. Cependant, Nick Percoco, responsable de la sécurité de Kraken, a rapidement clarifié ce point, confirmant plus tard que tous les fonds avaient été restitués, moins les frais de transaction. Cette résolution a souligné les défis liés à l’évaluation et à la gestion précises des retraits lors des tests de sécurité, en particulier ceux impliquant des sommes importantes et plusieurs crypto-monnaies comme l’ETH, l’USDT et le XMR.

Risques opérationnels et résilience du cash tornado

Malgré les défis opérationnels et les sanctions qui limitent son utilisation aux États-Unis, Tornado Cash continue de fonctionner, facilitant l'anonymat des transactions de crypto-monnaie. Cela persiste même si des crypto-monnaies notables comme l'USDC ont décidé de mettre sur liste noire les interactions avec les contrats Tornado Cash, gelant ainsi les fonds transférés. 

#Certik : À première vue, il semble que l'exploit de Certik consiste à :1. Créer un contrat et y déposer des fonds2. Génération de l'événement LogFeeTransfer()3. @krakenfx scanne LogFeeTransfer() sur ses adresses de dépôt et ne semble pas vérifier si les MATIC sont vraiment là pic.twitter.com/QI4bdXJdbz

— Naïm Boubziz (@BrutalTrade) June 20, 2024

Ce scénario met en évidence la lutte permanente entre garantir la sécurité opérationnelle et respecter les normes réglementaires, d’autant plus que les monnaies numériques et leurs plateformes associées deviennent de plus en plus courantes.

Les derniers tests de CertiK et les clarifications ultérieures sont des rappels essentiels de la nature sophistiquée des exploits de la blockchain et de la nécessité continue de pratiques de sécurité vigilantes dans le secteur des cryptomonnaies. À mesure que le secteur évolue, le piratage éthique et les réponses des bourses joueront un rôle central dans l’élaboration du paysage de la sécurité.

Le message CertiK clarifie les pratiques de piratage éthique et Kraken confirme le retour intégral des fonds, apparu pour la première fois sur Coinfea.