Le bug que Kraken a déclaré avoir corrigé avait été utilisé pour exploiter d'autres échanges centralisés dès le mois dernier, selon plusieurs experts en sécurité cryptographique.

Il s’agit du dernier développement de la saga de deux acteurs majeurs de la cryptographie, la bourse américaine Kraken et l’auditeur CertiK.

Mercredi, Kraken a déclaré avoir corrigé un bug « critique » qui permettait de retirer par erreur des millions de dollars en crypto de l'échange basé aux États-Unis.

CertiK a été critiqué après avoir admis être à l'origine de l'exploitation de ce bug. La société a retiré 3 millions de dollars de Kraken sur plusieurs jours début juin.

Après un échange public, CertiK a restitué tous les fonds qu'il avait pris et a qualifié ses actions d'opération de chapeau blanc, ce qui signifie qu'ils ont ostensiblement agi en tant que pirates informatiques éthiques avec l'intention d'identifier et de corriger les vulnérabilités de sécurité plutôt que de les exploiter à des fins malveillantes.

Les enregistrements Onchain identifiés pour la première fois par la plate-forme de sécurité Hexagate et confirmés à DL News par plusieurs autres chercheurs en sécurité montrent qu'un pirate informatique a tenté d'exploiter d'autres échanges cryptographiques – Binance, OKX, BingX et Gate.io – en utilisant le même bug dès le 17 mai.

Ces tentatives ont eu lieu trois semaines avant que CertiK n'annonce avoir trouvé le bug sur Kraken le 5 juin.

"Nous n'avons aucune preuve que ces échanges ont été affectés", a publié Hexagate sur X. "Nous n'avons retracé que des preuves en chaîne d'une activité similaire."

Les échanges cryptographiques centralisés détiennent une quantité gargantuesque de cryptographie au nom de leurs clients. Les cinq principaux échanges cryptographiques qui ont divulgué publiquement leurs adresses de portefeuille détiennent une valeur totale de 172 milliards de dollars de crypto, selon les données de DefiLlama.

CertiK n’a pas immédiatement répondu à la demande de commentaires de DL News.

Tentatives d'exploits

Les enregistrements mis en évidence par Hexagate montrent qu'un pirate informatique a tenté d'utiliser une attaque dite « de retour » pour tromper les échanges centralisés et leur permettre de retirer des fonds.

Pour ce faire, le pirate informatique a créé un contrat intelligent contenant une transaction permettant de déposer des fonds sur un échange centralisé. Le contrat est conçu de manière à ce que la transaction principale réussisse mais que le dépôt soit restitué.

Cela fait croire à l’échange qu’un utilisateur a déposé des fonds alors qu’il ne l’a pas fait. Le pirate informatique demande alors un retrait de l’échange, débitant le montant du faux dépôt.

Les enregistrements Onchain montrent que plusieurs tentatives d'utilisation d'un tel contrat lors du dépôt de fonds sur Binance ont eu lieu sur BNB Chain le 17 mai.

Entre le 29 mai et le 5 juin, la même adresse, ainsi qu'une autre financée par elle, ont fait des tentatives similaires sur OKX, BingX et Gate.io sur BNB Chain, Arbitrum et Optimism.

CertiK est-il impliqué ?

Bien que CertiK ait d’abord divulgué publiquement l’attaque par retour, il n’y a aucune preuve qu’il a été impliqué dans ces attaques précédentes.

Les fonctions des contrats intelligents ont chacune un hachage de signature par lequel elles peuvent être identifiées.

Dans le cas du contrat d’attaque par reversion, le hachage de signature n’est pas disponible, ce qui signifie que le nom de la fonction n’est pas connu publiquement, a déclaré à DL News un chercheur en sécurité qui souhaitait rester anonyme.

Cela signifie que le nom de la fonction pour l'attaque par retour est connu de CertiK ou que quelqu'un d'autre a également utilisé exactement le même nom, a déclaré le chercheur.

Tim Craig est le correspondant DeFi de DL News basé à Édimbourg. Contactez-le avec des conseils à tim@dlnews.com.