Chargement...

Kraken révèle qu'un bug a permis à des « chercheurs en sécurité » malveillants d'exploiter 3 millions de dollars

Dans cet article :

  • Un bug critique sur Kraken permet à des acteurs malveillants d’imprimer de l’argent à partir de rien.
  • Un chercheur en sécurité alerte les échanges sur la vulnérabilité et veut plus qu'une prime maximale.
  • Kraken a déclaré que les actions des chercheurs étaient de nature criminelle et a alerté les autorités.

La bourse américaine Kraken a perdu près de 3 millions de dollars dans sa trésorerie après qu'une société de sécurité anonyme ait exploité un bug sur sa plateforme. Le responsable de la sécurité, Nick Percoco, a révélé dans un article sur X, déclarant que la société de sécurité avait refusé de restituer les fonds et exigeait désormais un paiement plus élevé à titre de prime.

Lisez aussi : Crypto Exchange DMM Bitcoin s'engage à rembourser les utilisateurs après un piratage de 300 millions de dollars

En réponse, Kraken a transmis l'affaire aux forces de l'ordre et la traitera comme pénale. Cependant, les utilisateurs n'ont pas à s'inquiéter, car l'échange affirme avoir déjà résolu la vulnérabilité et qu'aucun compte utilisateur n'a été affecté.

Le bug Kraken permet d'imprimer de l'argent

Selon Percoco, un chercheur en sécurité a alerté Kraken d'un bug critique via son programme Bug Bounty le 9 juin. Lors d'enquêtes internes, l'équipe de sécurité de l'exchange a découvert une vulnérabilité qui pourrait permettre à un mauvais acteur d'initier un dépôt sur son compte Kraken et de recevoir le fonds sans finaliser le dépôt. Un attaquant malveillant pourrait imprimer des millions de dollars à partir de rien grâce à cet exploit.

Il expliqua:

« Nous avons découvert un bug isolé. Cela a permis à un attaquant malveillant, dans de bonnes circonstances, d’initier un dépôt sur notre plateforme et de recevoir des fonds sur son compte sans finaliser complètement le dépôt.

L'équipe de sécurité interne a atténué le problème en 47 minutes et l'a complètement résolu après quelques heures. Cependant, la société a découvert que le bug résultait d'un changement récent dans son UX qui permettait de créditer les comptes clients avant que leurs actifs ne soient compensés. Bien que le changement ait été intégré pour permettre le trading instantané, il n'a pas été entièrement testé contre ce type de risque.

Cependant, Percoco a ajouté que l' dent n'a pas affecté les actifs des utilisateurs et que l'exploitation de la vulnérabilité n'a affecté que la trésorerie du Kraken.

Les chercheurs en sécurité sont des criminels

Entre-temps, une analyse de la vulnérabilité a révélé que trois comptes exploitaient la faille, et l'un de ces comptes était enregistré sous le nom du chercheur en sécurité qui a initialement contacté la bourse.

Lisez aussi : Kraken envisage de radier l'USDT de la liste en réponse aux nouvelles réglementations de l'UE

Alors que le compte du chercheur n'a utilisé la faille que pour se créditer 4 $, suffisamment pour prouver que le bug était réel, les deux autres comptes ont retiré près de 3 millions de dollars de leurs comptes Kraken en utilisant le même exploit. Il est intéressant de noter que ces comptes étaient associés à des associés du chercheur en sécurité.

Kraken a expliqué que ses tentatives pour récupérer les fonds ont été vaines car les chercheurs demandent maintenant un paiement plus élevé qu'ils estiment proportionné au risque de bug.

Percoco a décrit cela comme un acte d'extorsion, ce qui contredit le principe du programme Bug Bounty. Il a ajouté que la violation des règles qui donnent aux pirates informatiques le droit de pirater fait des chercheurs en sécurité des criminels, et que l'échange les traite comme tels.

Sujets marqués dans cet article : | |

Clause de non-responsabilité. Les informations fournies ne sont pas des conseils commerciaux. Cryptopolitan.com décline toute responsabilité pour les investissements effectués sur la base des informations fournies sur cette page. Nous tron vivement dent recherches indépendantes et/ou de consulter un professionnel qualifié avant de prendre toute décision d'investissement.

Lien de partage:

Les plus lus

Chargement des articles les plus lus...

Restez au courant de l'actualité crypto, recevez des mises à jour quotidiennes dans votre boîte de réception

Nouvelles connexes

Bondex
cryptopolite
Abonnez-vous à CryptoPolitan