Kraken affirme que les pirates se sont tournés vers « l'extorsion » après avoir exploité un bug pour 3 millions de dollars
Le bug découvert par un « chercheur en sécurité » a conduit au vol de près de 3 millions de dollars dans les trésors de Kraken.
:format(webp)/cloudfront-us-east-1.images.arcpublishing.com/coindesk/GGJIA24CORF6BJDEO4SEQLIW6E.jpg)
- Kraken a déclaré que des chercheurs en sécurité tiers avaient découvert une vulnérabilité qui avait été corrigée par l'échange Crypto .
- Les chercheurs ont secrètement retiré près de 3 millions de dollars et ont refusé de les restituer sans connaître au préalable le montant de la prime, a déclaré Kraken.
- L'éditeur de code blockchain Certik a déclaré avoir trouvé une vulnérabilité dans la plateforme de Kraken et affirme avoir été "menacé" par l'échange.
L'échange de Crypto Kraken a déclaré que les "chercheurs en sécurité" qui ont découvert une vulnérabilité sur la plateforme se sont tournés vers "l'extorsion" après avoir retiré environ 3 millions de dollars de la trésorerie de l'échange.
Nick Percoco, responsable de la sécurité de Kraken, a déclaré dans un article sur la plateforme de médias sociaux X (anciennement Twitter) que la société avait reçu le 9 juin une alerte de "programme de bug bounty" de la part d'un chercheur en sécurité concernant une vulnérabilité qui permet aux utilisateurs de gonfler artificiellement leur solde. . Le bug "a permis à un attaquant malveillant, dans de bonnes circonstances, d'initier un dépôt sur notre plateforme et de recevoir des fonds sur son compte sans finaliser complètement le dépôt", a ajouté Percoco.
Dès réception du rapport, Kraken a rapidement résolu le problème et aucun fonds d'utilisateur n'a été affecté, a noté Percoco.
Ce qui a suivi a déclenché des signaux d’alarme pour l’équipe de Kraken.
Le chercheur en sécurité, après avoir découvert le bug, l'aurait divulgué à deux autres personnes, qui auraient ensuite retiré « frauduleusement » près de 3 millions de dollars de leurs comptes Kraken. "Cela provenait des trésoreries de Kraken, et non d'autres actifs de clients", a déclaré Percoco.
Le rapport de bug initial ne mentionnait T les transactions des deux autres individus, et lorsque Kraken a demandé plus de détails sur leurs activités, ils ont refusé.
"Au lieu de cela, ils ont exigé un appel avec leur équipe de développement commercial (c'est-à-dire leurs représentants commerciaux) et n'ont accepté de restituer aucun fonds jusqu'à ce que nous fournissions un montant spéculatif en dollars que ce bug aurait pu causer s'ils ne l'avaient pas divulgué. Ce n'est pas blanc. -un piratage de chapeau, c'est de l'extorsion !" Percoco a écrit.
Kraken n'a T révélé qui étaient les chercheurs, mais l'éditeur de code blockchain Certik a ensuite déclaré dans un article sur les réseaux sociaux avoir trouvé plusieurs vulnérabilités dans l'échange Crypto .
Certik a déclaré avoir effectué des « tests sur plusieurs jours » et a noté que le bug pourrait être exploité pour créer des millions de dollars de Crypto. "Des millions de dollars peuvent être déposés sur N'IMPORTE QUEL compte Kraken. Une énorme quantité de Crypto fabriquées (d'une valeur de plus de 1 million de dollars) peut être retirée du compte et convertie en cryptos valides. Pire encore, aucune alerte n'a été déclenchée pendant les tests de plusieurs jours. période", indique le message.
Cependant, Certik a déclaré que les choses avaient mal tourné après la conversation initiale avec Kraken. "L'équipe des opérations de sécurité de Kraken a MENACÉ des employés individuels de CertiK de rembourser un montant INÉGALÉ de Crypto dans un délai DÉRAISONNABLE, même SANS fournir d'adresses de remboursement", a ajouté le message X.
Les programmes de bug bounty – utilisés par de nombreuses entreprises pour renforcer leurs systèmes de sécurité – invitent des pirates tiers, appelés « chapeaux blancs », à rechercher des vulnérabilités afin que l'entreprise puisse les corriger avant qu'un acteur malveillant ne les exploite. Le concurrent de Kraken, Coinbase, dispose d'un programme similaire pour aider à alerter l'échange des vulnérabilités.
Pour recevoir la prime, le programme de Kraken nécessite qu'un tiers trouve le problème, exploite le montant minimum nécessaire pour prouver le bug, restitue les actifs et fournisse des détails sur la vulnérabilité, a déclaré Kraken dans un article de blog , ajoutant que depuis les chercheurs en sécurité n'ont T Réseaux sociaux ces règles, ils n'obtiendront T la prime.
"Nous avons engagé ces chercheurs de bonne foi et, dans le cadre d'une décennie de programme de bug bounty, nous leur avons offert une prime considérable pour leurs efforts. Nous sommes déçus par cette expérience et travaillons maintenant avec les forces de l'ordre pour récupérer le actifs de ces chercheurs en sécurité", a déclaré un porte-parole de Kraken à CoinDesk.
Sur le même sujet : Votre projet Crypto a besoin d'un shérif, pas d'un chasseur de primes
MISE À JOUR (19 juin, 18h30 UTC) : met à jour l'histoire tout au long pour ajouter les commentaires de Certik.
