CertiK explique sa position sur le piratage éthique, Kraken admet le remboursement intégral des fonds

CertiK, la société spécialisée dans la sécurité destracintelligents, continue d'affirmer que ses actions contre la plateforme Kraken étaient éthiques et qu'elle cherchait à évaluer l'étendue complète des failles de sécurité. Les testeurs affirment également avoir restitué l'intégralité des fonds et n'avoir exercé aucune extorsion envers Kraken. 

L'équipe CertiK a publié une nouvelle déclaration pour réfuter certaines allégations précédentes de Kraken. Les testeurs ont nié toute demande de prime, affirmant que leur priorité était de corriger la faille de sécurité permettant d'imprimer des fonds sur un compte. 

À lire : Kraken récupère 3 millions de dollars alors que les critiques s’intensifient contre Certik

Tous les fonds retirés provenaient des portefeuilles hors ligne de Kraken et aucun compte utilisateur n'a été affecté. Les cryptomonnaies ont été restituées sur la base des calculs et des enregistrements de transactions effectués par CertiK. 

L'action la plus controversée de CertiK a consisté à enregistrer l'envoi de fonds à Tornado Cash. Ce service de mixage de cryptomonnaies avait déjà fait l'objet de sanctions du Trésor américain, qui interdisait à toute personne résidant aux États-Unis d'interagir avec lui. 

CertiK est parfaitement au courant de l'utilisation de Tornado Cash et a inclus les transferts comme preuve de son exploitation. Auparavant, CertiK avait également tracl'utilisation de Tornado Cash dans le cadre d'exploitations plus anciennes. L'un des principaux axes de travail de CertiK demeure l'audit destracintelligents, qui présentent souvent des failles logiques similaires permettant la création illimitée de jetons.

L'approche de CertiK en matière de piratage éthique a inquiété les observateurs, car de petites sommes ont été directement envoyées à Tornado Cash pour tester la faille. Certaines étapes du processus de test de Kraken ont fuité sur les réseaux sociaux avant que Kraken ne révèle finalement l'ampleur réelle de la vulnérabilité. 

La question des primes de découverte de bugs n'a pas été abordée, mais CertiK continue d'affirmer qu'aucune prime n'était nécessaire pour rembourser les fonds. À ce jour, l'équipe de sécurité de Kraken n'a annoncé aucune prime pour CertiK. 

Kraken admet avoir reçu tous les fonds

CertiK a généré des soldes sur la plateforme centralisée Kraken et a effectué des retraits pour le compte de ces comptes. 

Les affirmations de Kraken selon lesquelles CertiK avait fourni des résultats inexacts ont suscité la plus grande controverse. Elles ont toutefois été réfutées quelques jours plus tard. Nick Percoco, responsable de la sécurité chez Kraken, a annoncé que les fonds avaient été intégralement restitués, déduction faite des frais de transaction. 

CertiK a déclaré avoir retiré uniquement des ETH, USDT et XMR, tandis que Kraken a également affirmé que 155 818,44 MATIC avaient été retirés, de manière mixte. Le montant total des retraits était estimé à environ 3 millions de dollars, bien que CertiK n'ait utilisé qu'une petite somme pour prouver l'exploitation de la faille. 

Une analyse plus approfondie de l'exploit a révélé que CertiK générait des soldes MATIC fictifs, mais que les transactions avaient échoué et qu'aucun fonds n'avait quitté les portefeuilles froids de Kraken. Les MATIC générés étaient en réalité une simple exploitation interne qui n'a pas entraîné le transfert de véritables jetons Polygon. 

Dans certains cas, la présence de fonds peut être simulée, car d'autres protocoles ont été attaqués avec des prêts flash. 

CertiK a affirmé que les attaques ont repris en juin, avec plus de 30 millions de dollars dérobés à des applications et des protocoles. Ce chiffre n'inclut pas les attaques contre des portefeuilles individuels. 

Tornado Cash est toujours opérationnel des années après les sanctions

Le service de mixage Tornado Cash continue de faciliter les abus, car les fonds sonttracaprès leur passage par ce service. Même après le blocage de portefeuilles et d'adresses, rien n'empêche les pirates de mixer de l'ETH et de l'envoyer vers de nouveaux portefeuilles inconnus. 

À lire également : Le groupe à l’origine du procès Tornado Cash perd face au Trésor américain

Depuis 2022, Tornado Cash dispose de ressources limitées, mais le service reste opérationnel. 

Le fondateur de Tornado Cash, Alexey Pertsev, a été condamné en mai 2024 à une peine pouvant aller jusqu'à plusieurs années de prison. Toutefois, ces sanctions et interdictions n'empêchent personne d'utiliser la plateforme de mixage, car cela n'a aucune incidence sur les juridictions situées en dehors des États-Unis.

Certaines cryptomonnaies, comme l'USDC, ont blacklisté tous lestracTornado Cash . Les fonds envoyés à cestracsont irrécupérables. L'USDC est également connu pour sa capacité centralisée à bloquer les cryptomonnaies. Pour Kraken, la possibilité de retirer des fonds vers une adresse detracTornado Cash constituait également une vulnérabilité majeure. La plupart des producteurs de jetons choisissent de ne pas exercer de contrôle sur leurs jetons, les rendant ainsi vulnérables au vol et irrécupérables par mixage. 

Reportage Cryptopolitan de Hristina Vasileva