Kraken : La résolution d’une faille à 3 millions de dollars se transforme en « extorsion » ?
White-hat ou extorsion ? La sécurité est l’un des enjeux fondamentaux auquel doit faire face le secteur des cryptomonnaies. Avec, d’un côté, des utilisateurs en charge du stockage auto-hébergé de leurs fonds numériques. Et, de l’autre, des plateformes centralisées (CEX) qui permettent de déléguer ce service, sans toutefois avoir l’assurance d’une fiabilité absolue. Car le fiasco associé à la plateforme FTX reste ancré dans tous les esprits, comme un avertissement à retenir. Et des bugs « extrêmement critiques » peuvent également être exploités, comme dans le récent cas de la plateforme Kraken. Une affaire à 3 millions de dollars qui prend une tournure assez inattendue !
Kraken victime d’un bug « extrêmement critique » à 3 millions de dollars
La plateforme Kraken vient apparemment de passer quelques journées difficiles. En cause, un bug jugé « extrêmement critique » dont l’exploitation a déjà été estimée à 3 millions de dollars.
Une affaire débutée le 9 juin dernier, lorsqu’un chercheur en sécurité a avertis l’exchange d’une faille permettant de « gonfler artificiellement les soldes. » Avec la possibilité d’initier une procédure de dépôt et de recevoir les fonds sans avoir à la terminer.
Une information visiblement gardée secrète jusqu’à aujourd’hui. Puisque le responsable de la sécurité de Kraken vient seulement de la rendre publique sur son compte X il y a tout juste quelques heures.
« Le 9 juin 2024, nous avons reçu une alerte du programme Bug Bounty d’un chercheur en sécurité. Aucun détail n’a été initialement divulgué, mais leur e-mail prétendait trouver un bug extrêmement critique qui leur permettait de gonfler artificiellement leur solde sur notre plateforme. »
Nick Percoco
Selon Nick Percoco, le délai impliqué est la cause directe d’un déferlement incessant de faux rapports bug bounty, destinés à prétendre au versement d’une prime. Mais le pertinence de ce rapport a rapidement été validée. Et le problème aussitôt réglé.
« Les actifs des clients n’ont jamais été menacés »
Comme l’explique Nick Percoco, une fois identifié et confirmé, le bug impliqué a été complètement résolu en une heure et 47 minutes très exactement. Cela avec la certitude affiché de ne plus pouvoir se reproduire.
« Pour être clair, les actifs des clients n’ont jamais été menacés. Cependant, un attaquant malveillant pourrait effectivement imprimer des actifs sur son compte Kraken pendant un certain temps. »
Nick Percococ
Une fois la faille colmatée, les responsables en sécurité de Kraken ont mené une enquête. Et ils ont rapidement découvert 3 comptes distincts impliqués dans cette procédure. L’un d’entre eux – rapidement identifié comme celui du chercheur en sécurité – avait opéré une transaction de seulement 4 $. Cette dernière suffisante pour prouver ses déclarations et prétendre au versement d’une prime de bug.
Le problème ? Les deux autres comptes impliqués feraient également partie de la société de cybersécurité à l’origine de la mise en lumière de ce bug. Et ils auraient à eux deux retiré 3 millions de dollars en exploitant cette faille. Ces derniers refusant de les rendre tant que le bug n’était pas divulgué au grand jour.
Voilà qui est fait. Et la plateforme Kraken menace désormais de trainer cette affaire devant les tribunaux. Car, selon Nick Percoco, « ce n’est pas un hack white-hat, mais de l’extorsion ! »