Scandale chez Kraken : un bug à 3 millions de dollars sème la discorde

Nick Percoco, responsable de la sécurité au sein de l’exchange de cryptomonnaies américain Kraken, a suscité l'attention sur X en partageant une alerte de sécurité majeure découverte sur la plateforme. Cependant, cette alerte n'est que le point de départ d'une histoire qui mérite d'être explorée en détail.

Scandale chez Kraken : un bug à 3 millions de dollars sème la discorde

Kraken : Extorsion par un « white hat » après un bug à 3 millions de dollars

Kraken, l'une des premières plateformes d'échange de cryptomonnaies, a établi une réputation solide en matière de sécurité depuis sa création en 2011. C'est pourquoi la sphère crypto a été surprise lorsque Nick Percoco, responsable de la sécurité de l'exchange, a révélé une mise à jour cruciale suite à la découverte d'un bug jugé « extrêmement critique ».

Nick Percoco a expliqué dans un thread sur X qu’il est assez courant de recevoir des faux rapports de Bug Bounty (programme de récompenses proposé par les entreprises aux personnes qui signalent des vulnérabilités de sécurité).

Malgré tout, il explique avoir pris en compte et traité dans les plus brefs délais ce signalement et découvert en quelques minutes seulement « un bug isolé ». Pour résumer, cette faille aurait permis à l’attaquant de recevoir des fonds sans avoir à réaliser un véritable dépôt sur son compte Kraken.

Pour apaiser la communauté, le responsable de la sécurité de Kraken a assuré que son équipe a traité ce signalement critique et mitigé les principaux risques en seulement 47 minutes.

En quelques heures à peine, le problème a été résolu et la faille était donc impossible à reproduire. Ce bug semble avoir été causé par un changement dans l'expérience utilisateur (UX) qui n'avait pas été testé pour ce type d'attaque spécifique.

🔒 Pourquoi et comment faire auditer un smart contract sur la blockchain ?

Après avoir résolu le problème, Kraken a ensuite enquêté sur l'origine du signalement. Le prétendu chercheur en sécurité aurait ajouté 4 dollars en cryptomonnaies sur son compte (avec KYC) dans le but de l’enquête.

Cependant, selon Nick Percoco, cela ne s'est pas arrêté là : il aurait également partagé cette vulnérabilité avec 2 autres collègues, ce qui aurait permis d'exploiter la faille pour retirer 3 millions de dollars sur 2 autres comptes Kraken distincts.

Le rapport de Bug Bounty initial n’étant pas assez descriptif, une demande de complément a été faite par les équipes de Kraken auprès des individus ayant exploité la faille. Ces derniers auraient refusé et auraient exigé un appel avec les équipes commerciales de l'exchange.

En plus de cela, ils auraient refusé de retourner les fonds jusqu’à ce que Kraken fournisse une récompense d'un montant égal à ce que ce bug aurait pu causer comme dommages.

Ledger : la meilleure solution pour protéger vos cryptomonnaies 🔒

CertiK donne sa version des faits

Mais l'histoire ne s'arrête pas là : bien que Kraken n'ait pas voulu divulguer l'identité de la personne derrière le Bug Bounty, CertiK, une entreprise leader en sécurité blockchain, s'est exprimée sur X quelques heures seulement après le tweet de Nick Percoco.

Dans ce communiqué, l’entreprise annonce que c'est elle qui aurait découvert la faille dans le système de dépôt de Kraken, et qu'elle aurait mené une enquête approfondie sur plusieurs points.

Ces points concernent la fabrication artificielle d’une transaction de dépôt sur un compte Kraken, la possibilité de retirer ces fonds et les contrôles liés aux risques et à la protection des actifs liés à une demande de retrait conséquente.

L’exchange visé par l’enquête aurait échoué à l’ensemble de ces tests : « une quantité de plus d’1 million de dollars peut être retirée et convertie en cryptomonnaies valides sans qu’aucune alerte ne soit déclenchée, » a ainsi déclaré la firme.

La société de sécurité déclare qu'après des discussions fructueuses sur l'identification et la correction des vulnérabilités, l'équipe de sécurité de Kraken aurait « menacé les employés de CertiK afin qu'ils remboursent un montant en cryptomonnaie incorrect, dans un délai déraisonnable et sans même fournir d’adresse de remboursement ».

👉 Dans l'actualité – ETF Ethereum spot : premiers retours pour les demandes vendredi ?

Ainsi, CertiK a publié tous les détails de son dossier. Selon leur chronologie des événements, la première alerte a été signalée le 5 juin. Cela a été suivi par plusieurs séries de dépôts entre le 5 et le 9 juin, date à laquelle tous les dépôts ont été retirés.

Le premier contact avec Kraken a eu lieu le 10 juin, mais après une seconde réunion le 18 juin, la relation s'est fortement détériorée à la suite des menaces rapportées par CertiK.

L’entreprise explique que « des retraits importants et continus à partir de différents comptes de test faisaient partie de nos essais».  En fin de thread, elle indique également avoir mis à disposition de Kraken tous les fonds impliqués dans l'affaire sur un compte accessible.

20 € offerts lors de votre inscription sur Bitvavo

Publicité - Investir comporte des risques (en savoir plus)
La Newsletter crypto n°1 🍞

Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌

Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.


Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.


Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.


Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.

Subscribe
Me notifier des
guest
0 Commentaires
Inline Feedbacks
View all comments
Voir plus
Tout voir

Cryptoast

Le site qui explique tout de A à Z sur le Bitcoin, la blockchain et les crypto-monnaies. Des actualités et des articles explicatifs pour découvrir et progresser dans ces secteurs !


Les articles les plus lus

Qu’est-ce que Hamster Kombat ? Tout savoir sur ce Tap to Earn sur Telegram

Qu’est-ce que Hamster Kombat ? Tout savoir sur ce Tap to Earn sur Telegram

« Mon opinion était fausse » – Le PDG de BlackRock admet s’être trompé sur le Bitcoin (BTC)

« Mon opinion était fausse » – Le PDG de BlackRock admet s’être trompé sur le Bitcoin (BTC)

Déceler le prochain bull run crypto en un coup d'œil ? 5 graphiques indispensables à suivre

Déceler le prochain bull run crypto en un coup d'œil ? 5 graphiques indispensables à suivre

Crise bancaire en Chine : 40 banques se sont faites absorber en 1 semaine – Que se passe-t-il ?

Crise bancaire en Chine : 40 banques se sont faites absorber en 1 semaine – Que se passe-t-il ?