Kraken affirme que CertiK était excessif, mais la société de cybersécurité insiste sur le fait que des retraits à grande échelle étaient nécessaires pour déterminer l'ampleur du problème.

La semaine dernière, Kraken a annoncé qu'un bug critique avait permis aux chercheurs en sécurité de gonfler artificiellement leur solde et de retirer près de 3 millions de dollars.

Mise à jour de sécurité Kraken : le 9 juin 2024, nous avons reçu une alerte du programme Bug Bounty d'un chercheur en sécurité. Aucun détail n'a été initialement divulgué, mais leur e-mail prétendait trouver un bug « extrêmement critique » qui leur permettait de gonfler artificiellement leur solde sur notre plateforme.

– Nick Percoco (@c7five) 19 juin 2024

Mais il y avait quelque chose d’incroyablement inhabituel dans tout cet incident, et cela a fini par déclencher une guerre des mots entre l’échange cryptographique et une grande entreprise de cybersécurité. 

Nick Percoco, responsable de la sécurité de Kraken, a donné le coup d'envoi en annonçant qu'une faille avait été découverte permettant à des acteurs malveillants d'imprimer des fonds sur un compte.

Il a fallu 47 minutes pour atténuer le problème et quelques heures pour le résoudre complètement. Jusqu’à présent, tout cela semble plutôt normal et routinier.

Mais Percoco a encore aggravé la situation en affirmant que le chercheur en sécurité impliqué avait parlé du problème à deux de ses collègues, leur permettant ainsi de récupérer des fonds de l'entreprise d'une valeur de plusieurs millions.

Il a déclaré que Kraken avait demandé des détails sur la façon dont l'exploit avait été réalisé et avait cherché à faire en sorte que les fonds soient restitués intégralement, mais a allégué que l'échange avait été refusé.

"Au lieu de cela, ils ont demandé un appel à leur équipe de développement commercial (c'est-à-dire leurs représentants commerciaux) et n'ont accepté de restituer aucun fonds jusqu'à ce que nous fournissions un montant spéculatif en dollars que ce bug aurait pu causer s'ils ne l'avaient pas divulgué. Ce n’est pas du piratage informatique, c’est de l’extorsion ! »

Nick Percoco

Percoco a poursuivi en affirmant que les chercheurs n’avaient pas travaillé dans l’esprit du programme de bug bounty parce qu’ils avaient extrait bien plus que nécessaire, n’avaient pas réussi à fournir une preuve de concept et n’avaient pas restitué l’argent immédiatement.

Alors que se passait-il ici ? Était-ce un hacker au chapeau blanc qui se dirigeait vers le côté obscur ? Quelqu’un tient Kraken en rançon ? Une affaire pénale ?

Vous aimerez peut-être aussi : Comment acheter des pièces avant qu’elles ne soient cotées

CertiK avance

C’est là que l’histoire prend une tournure inhabituelle. Vous auriez pu supposer que l’exploit avait été orchestré par un adolescent brillant enfermé quelque part dans sa chambre. En fait, cela a été réalisé par CertiK, l'un des plus grands auditeurs de l'espace Web3.

Trois heures seulement après le fil de discussion de Percoco sur X, la société a présenté sa propre version des événements.

CertiK a récemment identifié une série de vulnérabilités critiques dans l'échange @krakenfx qui pourraient potentiellement entraîner des centaines de millions de dollars de pertes. À partir d'une découverte dans le système de dépôt de @krakenfx où il pourrait ne pas faire la différence entre les différents internes… pic.twitter.com/ JZkMXj2ZCD

– CertiK (@CertiK) 19 juin 2024

Il a déclaré que des jours et des jours de tests n’avaient pas réussi à déclencher de signaux d’alarme dans les systèmes internes de Kraken – ce qui signifie que l’équipe de sécurité de l’échange n’est intervenue qu’après avoir été informée de la faille.

"Après des premières conversions réussies pour identifier et corriger la vulnérabilité, l'équipe des opérations de sécurité de Kraken a MENACÉ des employés individuels de CertiK de rembourser un montant INCOMPARABLE de crypto dans un délai DÉRAISONNABLE, même SANS fournir d'adresses de remboursement."

Certifié

CertiK a ensuite exhorté Kraken "à cesser toute menace contre les pirates informatiques".

Un jour plus tard, il a publié un fil de discussion répondant à des questions sur ses recherches.

Questions et réponses sur les récentes opérations Whitehat de CertiK-Kraken : 1. Un utilisateur réel a-t-il perdu des fonds ? Non. Les cryptos ont été créées à partir de rien et aucun actif réel d’utilisateur de Kraken n’a été directement impliqué dans nos activités de recherche.2. Avons-nous refusé de restituer les fonds ?Non. Dans notre communication avec…

– CertiK (@CertiK) 20 juin 2024

En plus de souligner qu'aucun client de Kraken n'a fini par perdre de l'argent, CertiK a souligné qu'il avait « constamment assuré » à l'entreprise que l'argent serait restitué, et c'était le cas. Le seul point de friction ? Désaccord sur le montant réellement dû de l'échange.

En expliquant pourquoi elle a choisi d’exploiter la faille à si grande échelle, la société a ajouté :

« Nous voulons tester les limites de la protection et du contrôle des risques de Kraken. Après plusieurs tests sur plusieurs jours et près de trois millions de crypto, aucune alerte n’a été déclenchée et nous n’avons toujours pas déterminé la limite.

Certifié

En lisant entre les lignes, il semble que CertiK voulait des réponses de Kraken sur ce qu'un véritable fraudeur aurait pu finir par repartir s'il avait continué.

La société de cybersécurité a poursuivi en affirmant que le bug bounty figurait loin dans sa liste de priorités – et que toutes les transactions associées à ses tests étaient entrées dans le domaine public. 

Une toute-puissante guerre des mots

Sur X, il y a eu pas mal de désaccords sur qui a raison et qui a tort.

La vraie question devrait être de savoir pourquoi vous avez exploité une quantité obscène dans le cadre de vos tests dans un rôle où la confiance est l'élément le plus crucial. Prenez le L et arrêtez de tweeter sans avis juridique.

– Voir $LSS BULL (@crypto_seeb) 19 juin 2024

3 millions de dollars, ce n’est qu’une cacahuète comparée à l’ampleur d’un éventuel piratage de faillite. Double L de Kraken en a fait un problème public au lieu de simplement remercier Dieu, les anons ne l'ont pas exploité.

– Everhusk (@everhusk) 19 juin 2024

L’argument de CertiK se résume à ceci : il lui fallait effectuer des retraits astronomiques pour tester si l’un d’entre eux finirait par être signalé par les systèmes internes de Kraken.

La dispute, qui semble maintenant avoir été résolue en surface, met en évidence une partie des tensions entre les entreprises du secteur de la cryptographie et les chercheurs en cybersécurité chargés de les garder sous contrôle.

Faut-il un plus grand accord sur les règles d’engagement ? Existe-t-il des cas où des exploits à grande échelle par des pirates informatiques sont justifiés, car ils pourraient empêcher que quelque chose de plus catastrophique ne se produise à une date ultérieure ? 

Si cela était arrivé au réseau Ronin – aidant à empêcher l’un des plus grands braquages ​​​​de crypto de tous les temps qui a conduit au vol de 625 millions de dollars – vous diriez probablement que le vol temporaire de quelques millions de dollars serait justifié.

Quelle que soit la façon dont vous le regardez, cet incident nous rappelle douloureusement que les principales bourses pourraient avoir des bugs qui n'ont pas encore été découverts, ce qui présente un risque pour les investisseurs quotidiens qui utilisent ces plateformes de trading pour stocker leurs fonds.

Vous aimerez peut-être aussi : L’industrie de la cryptographie peut-elle faire confiance à Trump ?