L'échange de crypto-monnaie Kraken a confirmé le 20 juin la récupération de près de 3 millions de dollars d'actifs numériques auprès de la société de sécurité blockchain CertiK à la suite d'allégations d'extorsion qui avaient éclipsé leur piratage au chapeau blanc.
Nick Percoco, responsable de la sécurité de Kraken, s'est adressé à X pour annoncer le retour des fonds, moins le montant dépensé en frais de transaction.
Mise à jour : nous pouvons maintenant confirmer que les fonds ont été restitués (moins un petit montant perdu en raison des frais). https://t.co/cHkjPt3m2A
– Nick Percoco (@c7five) 20 juin 2024
Le CSO de Kraken a signalé pour la première fois les 3 millions de dollars de fonds manquants le 19 juin, déclarant qu'un « chercheur en sécurité » les avait retirés par malveillance du trésor après avoir découvert et divulgué un bug existant.
Kraken a allégué que le chercheur en sécurité les avait extorqués, refusant de restituer les fonds et exigeant une récompense ainsi qu'un appel avec l'équipe de développement commercial de la bourse.
CertiK clarifie les allégations
Peu de temps après la publication de Kraken sur les fonds manquants, la société de sécurité blockchain CertiK s'est publiquement identifiée comme le « chercheur en sécurité » qui, selon Kraken, avait volé 3 millions de dollars d'actifs numériques.
Cela visait à contester les allégations et à dissiper toute notion d’intention malveillante.
Dans un article X du 19 juin, CertiK a déclaré avoir informé Kraken d'un exploit qui lui avait permis de supprimer des millions de dollars des comptes de la bourse. CertiK a également affirmé avoir été menacé par l’équipe de la bourse.
"Après des premières conversions réussies pour identifier et corriger la vulnérabilité, l'équipe des opérations de sécurité de Kraken a MENACÉ des employés individuels de CertiK de rembourser un montant INCOMPARABLE de crypto dans un délai DÉRAISONNABLE, même SANS fournir d'adresses de remboursement", a déclaré CertiK.
Pour clarifier sa version de l'histoire, CertiK a également publié une chronologie des événements, couvrant l'intégralité du discours, à commencer par l'identification de l'exploit le 5 juin.
Chronologie des événements
Pourquoi ont-ils retiré 3 millions de dollars ?
Le CSO de Kraken a initialement déclaré que le premier transfert malveillant, d’une valeur de seulement 4 $, aurait suffi à prouver le bug et à gagner des « récompenses importantes » grâce au programme de primes de Kraken.
Le chercheur en sécurité, qui s'est révélé plus tard être CertiK, avait plutôt déposé près de 3 millions de dollars sur ses comptes Kraken.
Dans un post X suite au retour des 3 millions de dollars, CertiK a répondu à de nombreuses questions importantes concernant la situation. Plus important encore, ils ont expliqué leur justification pour cette grosse somme.
"Nous voulons tester les limites de la protection et du contrôle des risques de Kraken", a déclaré CertiK. "Après plusieurs tests sur plusieurs jours et près de 3 millions de dollars de crypto, aucune alerte n'a été déclenchée et nous n'avons toujours pas déterminé la limite."
Questions et réponses sur les récentes opérations Whitehat de CertiK-Kraken :
1. Un utilisateur réel a-t-il perdu des fonds ? Non. Les cryptos ont été créées à partir de rien et aucun actif réel d’utilisateur de Kraken n’a été directement impliqué dans nos activités de recherche.
2. Avons-nous refusé de restituer les fonds ?Non. Dans notre communication avec…
– CertiK (@CertiK) 20 juin 2024
De plus, CertiK affirme qu’ils n’avaient aucune intention d’introduire une prime ; c'était quelque chose mentionné dans l'échange.
"Nous n'avons jamais mentionné de demande de prime", a déclaré CertiK. "C'est Kraken qui nous a mentionné pour la première fois sa prime, tandis que nous avons répondu que la prime n'était pas le sujet prioritaire et que nous voulions nous assurer que le problème était résolu."
CertiK a souligné que ses efforts ne se faisaient pas au détriment des utilisateurs de Kraken. Les fonds ont été « frappés à partir de rien ».
Malgré leur prétendue innocence, la situation a suscité un débat sur la nature du piratage éthique, les protocoles de communication appropriés et le traitement approprié des vulnérabilités découvertes.
