Des chercheurs en sécurité volent près de 3 millions de dollars en crypto de Kraken

L’échange de crypto-monnaies Kraken a annoncé mercredi que près de 3 millions de dollars en crypto-monnaie avaient été volés de ses portefeuilles en raison de l’exploitation d’une vulnérabilité liée à un bug de type zero-day, qui a maintenant été corrigée.

Nick Percoco, le directeur de la sécurité de Kraken, a utilisé la plateforme de médias sociaux X (anciennement Twitter) pour annoncer qu’ils avaient reçu une alerte du « Programme de Bug Bounty » d’un chercheur en sécurité le 9 juin 2024, les informant d’une vulnérabilité « extrêmement critique » qui permettait à quiconque d’augmenter artificiellement la valeur de leur solde de compte Kraken.

En enquêtant sur le rapport, Kraken a découvert un bug isolé qui permettait aux acteurs malveillants, dans les bonnes circonstances, d’initier un dépôt sur leur plateforme et de recevoir des fonds sur leur compte, même si le dépôt échouait.

« Pour être clair, aucun actif de client n’a jamais été en danger. Cependant, un attaquant malveillant pouvait effectivement imprimer des actifs sur son compte Kraken pendant un certain temps », a expliqué Percoco.

Percoco indique que l’équipe de sécurité de Kraken a marqué cette vulnérabilité comme Critique et a résolu le problème en une heure, empêchant ainsi d’autres pertes. L’équipe a également testé minutieusement la solution pour se prémunir contre des problèmes similaires à l’avenir.

« Notre équipe a trouvé un défaut dérivant d’un changement récent de l’UX qui créditait rapidement les comptes clients avant que leurs actifs ne soient validés – permettant aux clients de trader efficacement sur les marchés de crypto en temps réel. Ce changement d’UX n’a pas été suffisamment testé contre ce vecteur d’attaque spécifique », a ajouté Percoco.

Après avoir corrigé le bug, l’équipe de Kraken a découvert que trois comptes avaient déjà exploité le bug zero-day en quelques jours, retirant collectivement près de 3 millions de dollars de la trésorerie de l’échange.

Mise à jour de sécurité de Kraken : Le 9 juin 2024, nous avons reçu une alerte du programme Bug Bounty d’un chercheur en sécurité. Aucun détail n’a été initialement divulgué, mais leur e-mail prétendait avoir trouvé un bug « extrêmement critique » qui leur permettait d’inflater artificiellement leur solde sur notre plateforme. — Nick Percoco (@c7five) 19 juin 2024

Après une enquête plus approfondie, ils ont découvert qu’un compte était lié à un individu qui avait complété le processus de vérification KYC de Kraken, prétendant être un chercheur en sécurité. Cette personne a initialement testé le bug et a crédité son compte de 4 $ en crypto, ce qui aurait été suffisant pour prouver la faille et être récompensé par le programme Bug Bounty de Kraken.

Cependant, Percoco indique que le « chercheur en sécurité » a plutôt divulgué le bug zero-day à deux autres individus associés au chercheur, qui ont frauduleusement retiré 3 millions de dollars supplémentaires de leurs comptes Kraken. Il a souligné que ces fonds volés provenaient des trésoreries de Kraken, et non d’autres comptes clients.

Comme les transactions des deux autres individus n’ont pas été complètement divulguées dans le rapport initial du Bug Bounty, l’équipe de Kraken a contacté le chercheur pour obtenir plus de détails sur leurs activités. Cependant, Percoco indique que les chercheurs ont refusé de retourner la crypto ou de partager des informations concernant la faille, ce qui est une pratique courante pour tout programme Bug Bounty.

« Au lieu de cela, ils ont exigé un appel avec leur équipe de développement commercial (c’est-à-dire leurs représentants commerciaux) et n’ont pas accepté de retourner des fonds tant que nous ne fournissons pas un montant spéculé que ce bug aurait pu causer s’ils ne l’avaient pas divulgué. Ce n’est pas du hacking éthique, c’est de l’extorsion ! » a affirmé Percoco.

La réponse de Kraken à l’incident a été transparente. Percoco a souligné l’importance d’un comportement éthique dans la communauté de la cybersécurité, en disant : « En tant que chercheur en sécurité, votre licence pour ‘hacker’ une entreprise est activée en suivant les règles simples du programme de bug bounty auquel vous participez. Ignorer ces règles et extorquer l’entreprise révoque votre ‘licence de hacker’. »

Percoco indique que Kraken ne révèle pas les identités des chercheurs car « ils ne méritent pas de reconnaissance pour leurs actions ». De plus, Kraken traite désormais cette affaire comme une affaire criminelle et collabore avec les agences de la loi pour récupérer les fonds volés.

« Nous avons engagé ces chercheurs de bonne foi et, conformément à une décennie de gestion d’un programme de bug bounty, avions offert une récompense substantielle pour leurs efforts. Nous sommes déçus par cette expérience et travaillons maintenant avec les agences de la loi pour récupérer les actifs de ces chercheurs en sécurité », a déclaré un porte-parole de Kraken dans un communiqué.