L’exploitation d’un bug de 3 millions de dollars par Kraken mène à une enquête criminelle

L’échange de crypto Kraken a rapporté qu’une société de recherche en sécurité malveillante avait unilatéralement conservé 3 millions de dollars d’actifs numériques qu’elle avait exploités à partir d’un bug sur sa plate-forme.

Nick Percoco, responsable de la sécurité de Kraken, a détaillé l’incident sur X, révélant que le 9 juin, la société a reçu une information anonyme d’un « chercheur en sécurité » concernant un bug critique affectant son système de financement.

L’insecte

Selon Percoco, la faille, issue du récent changement UX de la bourse, permettrait à un acteur malveillant de gonfler artificiellement le solde de ses comptes. Il expliqua:

« Notre équipe a identifié une faille dans un changement UX qui créditait les comptes prématurément, permettant aux utilisateurs de négocier en temps réel avant la liquidation des actifs. Ce changement n’a pas été testé de manière adéquate par rapport à cette vulnérabilité spécifique… [So,] un attaquant malveillant pourrait effectivement imprimer des actifs sur son compte Kraken.

Après avoir corrigé le bug, Kraken a constaté que trois comptes avaient exploité cette faille en quelques jours. Percoco a révélé que le chercheur en sécurité avait partagé l’information avec deux associés, qui ont ensuite retiré près de 3 millions de dollars du trésor de Kraken.

Extorsion?

Percoco a déclaré que Kraken avait contacté ces personnes pour obtenir un rapport complet et restituer les fonds retirés.

Cependant, ces demandes ont été ignorées. Au lieu de cela, les chercheurs ont exigé une somme spéculative pour les dommages potentiels que le bug aurait pu causer s’il n’était pas divulgué.

Percoco a condamné ces actions comme contraires à l’éthique et criminelles, déclarant :

« En tant que chercheur en sécurité, votre permis de « pirater » une entreprise est obtenu en suivant les règles simples du programme de prime aux bogues auquel vous participez. Ignorer ces règles et extorquer l’entreprise révoque votre « permis de pirater ». Cela fait de vous et de votre entreprise des criminels.

Par conséquent, Kraken traite désormais cet incident comme criminel et travaille avec les autorités chargées de l’application de la loi.

Kraken n’a pas encore répondu à CryptoSlate demande de commentaires supplémentaires au moment de la publication.

L’exploitation d’un bug de 3 millions de dollars de Kraken mène à une enquête criminelle apparaît en premier sur CryptoSlate.