L’échange de crypto Kraken a révélé qu’un chercheur en sécurité anonyme avait exploité une faille zero-day « extrêmement critique » dans sa plateforme pour voler 3 millions de dollars d’actifs numériques et avait refusé de les restituer.
Les détails de l’incident ont été partagé par Nick Percoco, responsable de la sécurité de Kraken, sur X (anciennement Twitter), déclarant avoir reçu une alerte du programme Bug Bounty concernant un bug qui « leur a permis de gonfler artificiellement leur solde sur notre plateforme » sans partager d’autres détails
La société a déclaré avoir identifié un problème de sécurité quelques minutes après avoir reçu l’alerte, qui permettait essentiellement à un attaquant de « lancer un dépôt sur notre plateforme et de recevoir des fonds sur son compte sans terminer complètement le dépôt ».
Même si Kraken a souligné qu’aucun actif client n’était exposé à ce problème, cela aurait pu permettre à un acteur malveillant d’imprimer des actifs sur ses comptes. Le problème a été résolu en 47 minutes, selon le communiqué.
Il a également indiqué que la faille provenait d’un récent changement de l’interface utilisateur qui permet aux clients de déposer des fonds et de les utiliser avant qu’ils ne soient compensés.
De plus, une enquête plus approfondie a révélé que trois comptes, dont celui appartenant au prétendu chercheur en sécurité, avaient exploité la faille à quelques jours d’intervalle et siphonné 3 millions de dollars.
« Cet individu a découvert le bug dans notre système de financement et l’a exploité pour créditer son compte de 4 $ en crypto », a déclaré Percoco. « Cela aurait suffi pour prouver la faille, déposer un rapport de bug bounty auprès de notre équipe et collecter une récompense très importante selon les termes de notre programme. »
« Au lieu de cela, le ‘chercheur en sécurité’ a divulgué ce bug à deux autres personnes avec lesquelles ils travaillent et qui ont généré frauduleusement des sommes beaucoup plus importantes. Ils ont finalement retiré près de 3 millions de dollars de leurs comptes Kraken. Cela provenait de la trésorerie de Kraken, et non des actifs d’autres clients. «
Dans une étrange tournure des événements, après avoir été approchés par Kraken pour partager leur exploit de preuve de concept (PoC) utilisé pour créer l’activité en chaîne et pour organiser le retour des fonds qu’ils avaient retirés, ils ont plutôt exigé que le L’entreprise prend contact avec son équipe de développement commercial pour payer un montant fixe afin de libérer les actifs.
« Il ne s’agit pas d’un piratage informatique, mais d’une extorsion », a déclaré Percoco, exhortant les parties concernées à restituer les fonds volés.
Le nom de la société n’a pas été divulgué, mais Kraken a déclaré qu’elle traitait l’événement de sécurité comme une affaire pénale et qu’elle se coordonnait avec les forces de l’ordre à ce sujet.
« En tant que chercheur en sécurité, votre licence pour « pirater » une entreprise est obtenue en suivant les règles simples du programme de bug bounty auquel vous participez », a noté Percoco. « Ignorer ces règles et extorquer l’entreprise révoque votre « permis de pirater ». Cela fait de vous et de votre entreprise des criminels. »