Kraken exploité pour près de 3 millions de dollars à cause d’un bug
Kraken, une plateforme d’échange de cryptomonnaies bien connue, a récemment révélé qu’un bug permettait aux gens de déposer de l’argent sur leurs comptes sans réellement effectuer le dépôt. Ce bug a été exploité pour près de 3 millions de dollars dans les trésoreries de Kraken avant d’être corrigé. Le responsable de la sécurité (CSO) de Kraken a partagé des détails sur cet incident.
Découverte du bug
Le 9 juin, le programme de primes aux bogues de Kraken a reçu une alerte concernant un bug « extrêmement critique ». Cette alerte a été envoyée par un chercheur en sécurité qui a remarqué une faille grave. Selon le CSO de Kraken, Nick Percoco, ce bug permettait à quelqu’un de gonfler artificiellement le solde de son compte. Cela signifiait qu’ils pouvaient lancer un dépôt et recevoir des fonds sans terminer le processus de dépôt.
Fonctionnement du bug
Le bug était dû à une modification récente de la conception de l’expérience utilisateur (UX) de la plateforme de Kraken. La faille a permis de créditer les comptes avant que les dépôts d’actifs ne soient entièrement compensés. Cela a permis aux attaquants d’« imprimer des actifs » sur leurs comptes temporairement. Cependant, Percoco a assuré qu’aucun actif client n’était en danger ; le problème concernait les fonds propres du trésor de Kraken.
Exploitation avant correction
Kraken a rapidement corrigé le bug quelques heures après l’alerte. Cependant, une enquête a révélé que trois comptes avaient déjà exploité le bug en quelques jours. L’un de ces comptes appartenait au chercheur en sécurité qui avait trouvé le bug. Cette personne a affirmé tester la faille en créditant son compte de 4 $. Ils ont ensuite déposé un rapport de prime de bogue et ont réclamé une récompense.
Exploitation plus importante par des associés
La situation est devenue plus sérieuse lorsqu’il a été découvert que le chercheur avait partagé le bug avec deux autres personnes. Ces personnes ont utilisé le bug pour retirer des sommes beaucoup plus importantes, près de 3 millions de dollars au total, des trésoreries de Kraken. Percoco a précisé que cet argent provenait des fonds de Kraken, et non des actifs des clients.
Réponse de Kraken
Kraken a demandé aux chercheurs de restituer les fonds et de fournir un compte rendu complet de leurs activités. Cependant, les chercheurs ont refusé de restituer l’argent à moins que Kraken ne révèle l’ampleur potentielle de l’exploit. Percoco a qualifié cette demande d’extorsion, affirmant qu’il ne s’agissait pas d’un acte de piratage éthique.
Action en justice et mesures de sécurité
En raison de la violation de ses conditions de prime de bogue, Kraken a décidé de traiter le cas comme criminel. Ils ont choisi de ne pas divulguer le nom de la société de recherche impliquée, estimant qu’elle ne méritait pas d’être reconnue. Au lieu de cela, Kraken s’est coordonné avec les forces de l’ordre pour gérer la situation.
Importance des programmes de primes aux bogues
Cet incident souligne l’importance des programmes de primes aux bogues dans l’identification et la correction des vulnérabilités. Les programmes de primes aux bogues sont conçus pour récompenser les chercheurs qui trouvent et signalent des bogues. Cependant, cela montre également les risques potentiels lorsque les chercheurs ne suivent pas les directives éthiques.
Protection des plateformes d’échange de cryptomonnaies
Les plateformes d’échange de cryptomonnaies comme Kraken doivent constamment améliorer leurs mesures de sécurité pour se protéger contre de telles exploitations. Cela inclut des tests approfondis des nouvelles fonctionnalités et une réponse rapide à tout problème signalé. Ce faisant, elles peuvent protéger leurs plateformes et maintenir la confiance de leurs utilisateurs.
Le récent incident d’exploitation de bogue de Kraken rappelle les défis auxquels sont confrontées les plateformes d’échange de cryptomonnaies. Avec près de 3 millions de dollars pris dans ses trésoreries, Kraken a agi rapidement pour corriger le bug et poursuit désormais des poursuites judiciaires contre les responsables. Cette affaire souligne l’importance de mesures de sécurité solides et de pratiques éthiques dans l’industrie de la cryptographie.