AccueilBlockchainSécuritéCrypto hack: CertiK découvre un bug sur l’exchange Kraken et l’exploite pour...

Crypto hack: CertiK découvre un bug sur l’exchange Kraken et l’exploite pour retirer 3 millions de dollars sans autorisations

Dans cet article, nous parlons d’une histoire incroyable : il y a quelques jours, la société d’audit Certik a identifié une faille dans les systèmes de sécurité de l’échange de crypto Kraken qui pourrait conduire à un grave hack.

Après avoir mené quelques tests pendant 3 jours et effectué une attaque “white hack” de 3 millions de dollars, Certik a contacté Kraken pour l’informer du bug, mais a initialement refusé de restituer immédiatement la somme volée.

La bourse crypto a immédiatement contacté les forces de l’ordre en traitant la situation comme une affaire criminelle, tandis que la société de sécurité cryptographique insiste sur le fait qu’il s’agit d’un test typique d’un “bounty program”. Maintenant, les fonds semblent avoir été restitués.

Voyons tout en détail ci-dessous.

Le hack de 3 millions de dollars aux dépens du crypto exchange Kraken : Certik est le responsable, mais il refuse de restituer l’argent

Cette histoire commence le 9 juin 2024, lorsque le crypto exchange Kraken reçoit une communication informelle de la part d’un “chercheur en sécurité” qui affirme avoir découvert une vulnérabilité sur la plateforme qui aurait pu causer un hack de grande envergure.

Comme rapporté dans un tweet post-mortem de la part de Nick Percoco, Chief Security Officer de Kraken, le chercheur aurait mis en évidence une faille dans les systèmes de sécurité des dépôts (incapable de distinguer différents états de transfert interne), qui permet aux utilisateurs de gonfler leur solde et de retirer plus de coins qu’ils n’en ont réellement à disposition. L’exchange s’est immédiatement mobilisée pour résoudre le problème, et en à peine 47 minutes une équipe d’experts a réussi à corriger le bug.

Voici ce que Percoco a rapporté :

« le bug a permis à un agresseur malintentionné, dans les bonnes circonstances, de lancer un dépôt sur notre plateforme et de recevoir des fonds sur son propre compte sans compléter entièrement le dépôt. Pour être clair, aucun actif des clients n’a jamais été en danger”

Jusqu’ici tout est normal, si ce n’est que la même société de sécurité web3 où travaille le chercheur qui a contacté Kraken, avant de communiquer officiellement le bug, aurait réalisé plusieurs hacks sur la plateforme pour un total de 3 millions de dollars.

Juste après la publication du post de Percoco, la célèbre société d’audit Certik a immédiatement assumé la responsabilité de l’incident et a révélé son rôle déterminant dans l’affaire.

Certik aurait « testé » les mécanismes de défense de Kraken en mettant en œuvre une attaque  à grande échelle, et en prélevant de grandes quantités de token MATIC de 3 comptes différents, pour ensuite nettoyer les traces des fonds via le mixer Tornado Cash.

 Comme expliqué par le responsable de sécurité de l’exchange, après avoir corrigé le problème, Kraken a demandé à Certik de restituer les fonds, mais elle a initialement refusé.

Malgré cela, Certik insiste sur le fait que son activité est en ligne avec les principes “white hack”.

Il semblerait que Certik n’ait pas mentionné le rôle des 3 comptes exploiter dans l’incident, bien qu’ils aient effectué les tests de retrait dans les 3 jours précédant les communications avec Kraken.

Le chercheur en sécurité qui a repéré le bug, aurait demandé une prime substantielle pour avoir identifié une grosse faille qui aurait pu imploser en un hack majeur, mais Kraken a insisté sur le fait qu’il voulait récupérer ses fonds.

Étant donné que la société d’auditing a refusé de restituer le butin, et semblait même avoir agi pour dissimuler les preuves du hack, l’exchange a décidé de traiter la situation comme s’il s’agissait d’un cas criminel en avertissant les autorités compétentes et les forces de l’ordre.

La compagnie de sécurité web3 avait demandé à l’exchange une prime bounty égale au montant spéculé que ce bug aurait pu causer s’il n’avait pas été divulgué, mettant en colère l’équipe de la plateforme d’échange.

Percoco a commenté sur son profil X ce qui s’est passé, montrant toute sa contrariété envers le comportement de Certik :

“Ce n’est pas du white hacking, c’est de l’extorsion”.

Le démenti de Certik : fonds restitués malgré le fait que certains employés aient subi des menaces de la part de l’équipe de Kraken

Certik, après s’être présentée comme la société responsable d’avoir identifié la faille dans les systèmes de dépôt, a immédiatement démenti ce qui a été raconté par Kraken en mettant en évidence le rôle de “white hack” et ses intentions positives.

La société a révélé avoir mis en place un hack de grande envergure, pour un montant de 3 millions de dollars, dans le seul but de tester la défense de l’exchange, mais a également souligné qu’elle n’a jamais refusé de restituer le butin mais plutôt de vouloir s’assurer que tout soit exécuté correctement.

Certik a dit qu’elle a été étonnée par l’impact potentiel négatif que le bug aurait pu causer, mais surtout par le fait que les alarmes de Kraken n’ont jamais été déclenchées. C’est ce qui a été affirmé dans un post: 

« Des millions de dollars peuvent être déposés sur n’importe quel compte Kraken. Une énorme quantité de crypto (d’une valeur de plus de 1 M + USD) peut être retirée du compte et convertie en cryptos valides. Pire encore, pendant la période de test de plusieurs jours, aucune alerte n’a été activée ».

En outre, la société d’audit a expliqué que un membre de l’équipe de l’exchange aurait menacé un de ses propres chercheurs de restituer la somme dans un délai peu raisonnable (6 heures) sans toutefois fournir une adresse de repayment.

Cela s’est déroulé après que, quelques jours après le hack, les deux sociétés se sont parlées par appel pour chercher une solution et résoudre l’affaire.

Il semblerait que ce qui a déclenché le chaos soit le montant de la prime de bounty proposé par Kraken, qui n’a pas été jugé conforme à l’effort fourni et à l’exploit potentiel évité. Comme en effet rapporté par un porte-parole de Kraken à Coindesk :

« Nous avons impliqué ces chercheurs de bonne foi et, conformément à une décennie de gestion d’un programme de primes de bugs, nous avions offert une prime considérable pour leurs efforts. Nous sommes déçus par cette expérience et nous travaillons maintenant avec les forces de l’ordre pour récupérer les biens de ces chercheurs en sécurité ».

Aujourd’hui Certik a publié un autre post avec des FAQ  pour clarifier davantage sa position et dissiper tout doute.

La société de sécurité réitère avoir “consistamment” confirmé qu’elle aurait restitué le montant volé, et affirme que maintenant tous les fonds sont retournés entre les mains de Kraken.

Ces fonds ont été renvoyés à l’expéditeur en 734.19215 ETH, 29,001 USDT et 1021.1 XMR, tandis que l’échange aurait expressément demandé d’envoyer 155818.4468 MATIC, 907400.1803 USDT, 475.5557871 ETH et 1089.794737 XMR, pour une valeur totale supérieure d’environ 100.000 dollars.

Kraken reste ferme sur son propre concept d’éthique du “white hacking” et soutient que le bullisme mis en œuvre par Certik pourrait être identifié comme de l’extorsion.

Le programme Bounty de l’exchange demande en effet à des tiers de trouver le problème, d’exploiter le montant minimum nécessaire pour prouver le bug (sans exécuter un hack de 3 millions de dollars), de restituer les ressources et de fournir des détails sur la vulnérabilité.

RELATED ARTICLES

MOST POPULARS

GoldBrick