Kraken révèle qu'une faille a permis à des « chercheurs en sécurité » malveillants d'exploiter 3 millions de dollars

La plateforme d'échange américaine Kraken a perdu près de 3 millions de dollars de trésorerie après qu'une société de sécurité, dont le nom n'a pas été divulgué, a exploité une faille de sécurité. Le responsable de la sécurité, Nick Percoco, a révélé l'information sur X, précisant que la société de sécurité refuse de restituer les fonds et exige désormais une prime plus élevée.

À lire également : La plateforme d’échange de cryptomonnaies DMM Bitcoin promet de rembourser ses utilisateurs après un piratage de 300 millions de dollars.

En réponse, Kraken a saisi les autorités compétentes et traitera l'affaire comme une infraction pénale. Cependant, les utilisateurs n'ont pas à s'inquiéter, car la plateforme affirme avoir déjà corrigé la faille de sécurité et qu'aucun compte utilisateur n'a été affecté.

Le bug Kraken permet l'impression de monnaie

Selon Percoco, un chercheur en sécurité a signalé une faille critique à Kraken via son programme de primes aux bogues le 9 juin. Après investigations internes, l'équipe de sécurité de la plateforme a découvert une vulnérabilité permettant à une personne mal intentionnée d'initier un dépôt sur un compte Kraken et de recevoir les fonds sans finaliser la transaction. Un attaquant malveillant pourrait ainsi générer des millions d'euros à partir de rien.

Il a expliqué :

« Nous avons découvert un bug isolé. Celui-ci permettait à un attaquant malveillant, dans certaines circonstances, d'initier un dépôt sur notre plateforme et de recevoir des fonds sur son compte sans finaliser le dépôt. »

L'équipe de sécurité interne a atténué le problème en 47 minutes et l'a résolu complètement quelques heures plus tard. Cependant, l'entreprise a découvert que le bug était dû à une modification récente de son interface utilisateur, qui permettait de créditer les comptes clients avant que leurs actifs ne soient disponibles. Bien que cette modification ait été intégrée pour permettre le trading instantané, elle n'avait pas été entièrement testée face à ce type de risque.

Cependant, Percoco a ajouté que l'dent n'avait pas affecté les actifs des utilisateurs et que l'exploitation de la vulnérabilité n'avait touché que la trésorerie de Kraken.

Les chercheurs en sécurité sont des criminels

Par ailleurs, une analyse de la vulnérabilité a révélé que trois comptes exploitaient la faille, et que l'un de ces comptes était enregistré au nom du chercheur en sécurité qui avait initialement contacté la plateforme d'échange.

À lire également : Kraken envisage de retirer l’USDT de sa plateforme en réponse à la nouvelle réglementation européenne

Alors que le compte du chercheur n'a exploité la faille que pour s'octroyer 4 dollars, suffisants pour prouver l'existence du bug, les deux autres comptes ont retiré près de 3 millions de dollars de leurs comptes Kraken en utilisant la même exploitation. Fait troublant, ces comptes étaient associés à des proches du chercheur en sécurité.

Kraken a expliqué que ses tentatives pour récupérer les fonds ont été vaines, car les chercheurs demandent désormais une indemnisation plus élevée qu'ils estiment proportionnelle au risque lié au bug.

Percoco a qualifié cela d'acte d'extorsion, ce qui contredit le principe même du programme de primes aux bogues. Il a ajouté que la violation des règles qui autorisent les hackers éthiques à pirater fait des chercheurs en sécurité des criminels, et que la plateforme les traite comme tels.