Scandale chez Kraken : un bug à 3 millions de dollars sème la discorde
Nick Percoco, responsable de la sécurité au sein de l’exchange de cryptomonnaies américain Kraken, a suscité l'attention sur X en partageant une alerte de sécurité majeure découverte sur la plateforme. Cependant, cette alerte n'est que le point de départ d'une histoire qui mérite d'être explorée en détail.
Kraken : Extorsion par un « white hat » après un bug à 3 millions de dollars
Kraken, l'une des premières plateformes d'échange de cryptomonnaies, a établi une réputation solide en matière de sécurité depuis sa création en 2011. C'est pourquoi la sphère crypto a été surprise lorsque Nick Percoco, responsable de la sécurité de l'exchange, a révélé une mise à jour cruciale suite à la découverte d'un bug jugé « extrêmement critique ».
Nick Percoco a expliqué dans un thread sur X qu’il est assez courant de recevoir des faux rapports de Bug Bounty (programme de récompenses proposé par les entreprises aux personnes qui signalent des vulnérabilités de sécurité).
Malgré tout, il explique avoir pris en compte et traité dans les plus brefs délais ce signalement et découvert en quelques minutes seulement « un bug isolé ». Pour résumer, cette faille aurait permis à l’attaquant de recevoir des fonds sans avoir à réaliser un véritable dépôt sur son compte Kraken.
To be clear, no client’s assets were ever at risk. However, a malicious attacker could effectively print assets in their Kraken account for a period of time.
— Nick Percoco (@c7five) June 19, 2024
Pour apaiser la communauté, le responsable de la sécurité de Kraken a assuré que son équipe a traité ce signalement critique et mitigé les principaux risques en seulement 47 minutes.
En quelques heures à peine, le problème a été résolu et la faille était donc impossible à reproduire. Ce bug semble avoir été causé par un changement dans l'expérience utilisateur (UX) qui n'avait pas été testé pour ce type d'attaque spécifique.
🔒 Pourquoi et comment faire auditer un smart contract sur la blockchain ?
Après avoir résolu le problème, Kraken a ensuite enquêté sur l'origine du signalement. Le prétendu chercheur en sécurité aurait ajouté 4 dollars en cryptomonnaies sur son compte (avec KYC) dans le but de l’enquête.
Cependant, selon Nick Percoco, cela ne s'est pas arrêté là : il aurait également partagé cette vulnérabilité avec 2 autres collègues, ce qui aurait permis d'exploiter la faille pour retirer 3 millions de dollars sur 2 autres comptes Kraken distincts.
Le rapport de Bug Bounty initial n’étant pas assez descriptif, une demande de complément a été faite par les équipes de Kraken auprès des individus ayant exploité la faille. Ces derniers auraient refusé et auraient exigé un appel avec les équipes commerciales de l'exchange.
En plus de cela, ils auraient refusé de retourner les fonds jusqu’à ce que Kraken fournisse une récompense d'un montant égal à ce que ce bug aurait pu causer comme dommages.
Ledger : la meilleure solution pour protéger vos cryptomonnaies 🔒CertiK donne sa version des faits
Mais l'histoire ne s'arrête pas là : bien que Kraken n'ait pas voulu divulguer l'identité de la personne derrière le Bug Bounty, CertiK, une entreprise leader en sécurité blockchain, s'est exprimée sur X quelques heures seulement après le tweet de Nick Percoco.
Dans ce communiqué, l’entreprise annonce que c'est elle qui aurait découvert la faille dans le système de dépôt de Kraken, et qu'elle aurait mené une enquête approfondie sur plusieurs points.
Ces points concernent la fabrication artificielle d’une transaction de dépôt sur un compte Kraken, la possibilité de retirer ces fonds et les contrôles liés aux risques et à la protection des actifs liés à une demande de retrait conséquente.
L’exchange visé par l’enquête aurait échoué à l’ensemble de ces tests : « une quantité de plus d’1 million de dollars peut être retirée et convertie en cryptomonnaies valides sans qu’aucune alerte ne soit déclenchée, » a ainsi déclaré la firme.
CertiK recently identified a series of critical vulnerabilities in @krakenfx exchange which could potentially lead to hundreds of millions of dollars in losses.
Starting from a finding in @krakenfx's deposit system where it may fail to differentiate between different internal… pic.twitter.com/JZkMXj2ZCD
— CertiK (@CertiK) June 19, 2024
La société de sécurité déclare qu'après des discussions fructueuses sur l'identification et la correction des vulnérabilités, l'équipe de sécurité de Kraken aurait « menacé les employés de CertiK afin qu'ils remboursent un montant en cryptomonnaie incorrect, dans un délai déraisonnable et sans même fournir d’adresse de remboursement ».
👉 Dans l'actualité – ETF Ethereum spot : premiers retours pour les demandes vendredi ?
Ainsi, CertiK a publié tous les détails de son dossier. Selon leur chronologie des événements, la première alerte a été signalée le 5 juin. Cela a été suivi par plusieurs séries de dépôts entre le 5 et le 9 juin, date à laquelle tous les dépôts ont été retirés.
Le premier contact avec Kraken a eu lieu le 10 juin, mais après une seconde réunion le 18 juin, la relation s'est fortement détériorée à la suite des menaces rapportées par CertiK.
L’entreprise explique que « des retraits importants et continus à partir de différents comptes de test faisaient partie de nos essais». En fin de thread, elle indique également avoir mis à disposition de Kraken tous les fonds impliqués dans l'affaire sur un compte accessible.
20 € offerts lors de votre inscription sur Bitvavo
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission.
Les investissements dans les crypto-monnaies sont risqués. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital