La bourse américaine Kraken a perdu près de 3 millions de dollars dans sa trésorerie après qu'une société de sécurité anonyme ait exploité un bug sur sa plateforme. Le responsable de la sécurité, Nick Percoco, a révélé dans un article sur X, déclarant que la société de sécurité avait refusé de restituer les fonds et exigeait désormais un paiement plus élevé à titre de prime.
Lisez aussi : Crypto Exchange DMM Bitcoin s'engage à rembourser les utilisateurs après un piratage de 300 millions de dollars
En réponse, Kraken a transmis l'affaire aux forces de l'ordre et la traitera comme pénale. Cependant, les utilisateurs n'ont pas à s'inquiéter, car l'échange affirme avoir déjà résolu la vulnérabilité et qu'aucun compte utilisateur n'a été affecté.
Le bug Kraken permet d'imprimer de l'argent
Selon Percoco, un chercheur en sécurité a alerté Kraken d'un bug critique via son programme Bug Bounty le 9 juin. Lors d'enquêtes internes, l'équipe de sécurité de l'exchange a découvert une vulnérabilité qui pourrait permettre à un mauvais acteur d'initier un dépôt sur son compte Kraken et de recevoir le fonds sans finaliser le dépôt. Un attaquant malveillant pourrait imprimer des millions de dollars à partir de rien grâce à cet exploit.
Il expliqua:
« Nous avons découvert un bug isolé. Cela a permis à un attaquant malveillant, dans de bonnes circonstances, d’initier un dépôt sur notre plateforme et de recevoir des fonds sur son compte sans finaliser complètement le dépôt.
L'équipe de sécurité interne a atténué le problème en 47 minutes et l'a complètement résolu après quelques heures. Cependant, la société a découvert que le bug résultait d'un changement récent dans son UX qui permettait de créditer les comptes clients avant que leurs actifs ne soient compensés. Bien que le changement ait été intégré pour permettre le trading instantané, il n'a pas été entièrement testé contre ce type de risque.
Cependant, Percoco a ajouté que l'dent n'a pas affecté les actifs des utilisateurs et que l'exploitation de la vulnérabilité n'a affecté que la trésorerie du Kraken.
Les chercheurs en sécurité sont des criminels
Entre-temps, une analyse de la vulnérabilité a révélé que trois comptes exploitaient la faille, et l'un de ces comptes était enregistré sous le nom du chercheur en sécurité qui a initialement contacté la bourse.
Lisez aussi : Kraken envisage de radier l'USDT de la liste en réponse aux nouvelles réglementations de l'UE
Alors que le compte du chercheur n'a utilisé la faille que pour se créditer 4 $, suffisamment pour prouver que le bug était réel, les deux autres comptes ont retiré près de 3 millions de dollars de leurs comptes Kraken en utilisant le même exploit. Il est intéressant de noter que ces comptes étaient associés à des associés du chercheur en sécurité.
Kraken a expliqué que ses tentatives pour récupérer les fonds ont été vaines car les chercheurs demandent maintenant un paiement plus élevé qu'ils estiment proportionné au risque de bug.
Percoco a décrit cela comme un acte d'extorsion, ce qui contredit le principe du programme Bug Bounty. Il a ajouté que la violation des règles qui donnent aux pirates informatiques le droit de pirater fait des chercheurs en sécurité des criminels, et que l'échange les traite comme tels.
Cryptopolitan Academy: Vous voulez développer votre argent en 2025? Apprenez à le faire avec DeFi dans notre prochaine webclass. Enregistrez votre place
