L’échange cryptographique Kraken a révélé aujourd’hui que de prétendus chercheurs en sécurité avaient exploité un bogue de site Web zero-day pour voler 3 millions de dollars en crypto-monnaie, puis refusé de restituer les fonds.
Le piratage a été révélé par Nick Percoco, responsable de la sécurité de Kraken, sur X, expliquant que l’équipe de sécurité de la bourse avait reçu un vague rapport de bogue le 9 juin au sujet d’un « extrêmement critique » qui permettait à quiconque d’augmenter artificiellement les soldes d’un portefeuille Kraken.
Kraken dit qu’ils ont enquêté sur le rapport et découvert un bogue permettant aux attaquants d’initier des dépôts et de recevoir les fonds, même si le dépôt a échoué.
« En quelques minutes, nous avons découvert un bug isolé. Cela a permis à un attaquant malveillant, dans les bonnes circonstances, d’initier un dépôt sur notre plateforme et de recevoir des fonds sur son compte sans terminer complètement le dépôt », a expliqué Percoco.
« Pour être clair, les actifs d’aucun client n’ont jamais été en danger. Cependant, un attaquant malveillant pourrait effectivement imprimer des actifs sur son compte Kraken pendant un certain temps. »
Percoco dit que l’équipe de sécurité de Kraken a corrigé la faille en une heure et a découvert qu’elle découlait d’un récent changement d’interface utilisateur qui permet aux clients de déposer des fonds et de les utiliser avant qu’ils ne soient effacés.
C’est là que les choses prennent une tournure étrange.
Après avoir corrigé le bogue, ils ont découvert que trois utilisateurs l’exploitaient comme un jour zéro pour voler 3 millions de dollars au trésor de la bourse.
Un membre était lié à une personne qui prétendait être un chercheur, qui l’a utilisé pour déposer 4 crypto en crypto sur son compte pour prouver le bogue.
Cependant, Percoco dit que le bogue a été divulgué à deux autres personnes associées au chercheur, qui l’ont utilisé pour retirer 3 millions de dollars supplémentaires de fonds volés de leurs comptes Kraken.
Après avoir contacté le chercheur à propos de ce retrait, Percoco a déclaré que les chercheurs avaient refusé de renvoyer la crypto ou de partager toute information concernant la vulnérabilité comme prévu dans une divulgation de bogue.
« Au lieu de cela, ils ont demandé un appel avec leur équipe de développement commercial (c’est-à-dire leurs représentants commerciaux) et n’ont accepté de restituer aucun fonds tant que nous n’avons pas fourni un montant spéculatif que ce bogue aurait pu causer s’ils ne l’avaient pas divulgué », a affirmé Percoco.
« Ce n’est pas du piratage informatique en chapeau blanc, c’est de l’extorsion! »
Percoco dit que Kraken ne divulgue pas l’identité des chercheurs car « ils ne méritent pas d’être reconnus pour leurs actions. »
Kraken dit maintenant qu’ils traitent cela comme une affaire pénale et ont informé les forces de l’ordre.
Breachtrace a contacté Kraken pour plus d’informations et mettra à jour l’histoire si nous recevons une réponse.