Et finalement, tout se termine bien. L’échangeur crypto Kraken vient de récupérer les trois millions de dollars en crypto monnaie dérobés lors d’un test de sécurité mené par CertiK, une entreprise spécialisée dans la sécurité de la blockchain. Le feuilleton a tenu en haleine la communauté crypto pendant deux jours à la fin de la semaine dernière.
Tout commence le 19 juin. Nick Percoco, le responsable de la sécurité des systèmes d’information de Kraken, raconte comment l’entreprise a été contactée au début du mois de juin par un chercheur en sécurité au sujet d’une vulnérabilité “extrêmement critique”. Après investigations, Kraken découvre effectivement ce qu’elle qualifie de “bug isolé”.
Problème critique rapidement résolu
Cette faille critique permet à des pirates informatiques d’initier un dépôt sur l’échangeur et de recevoir les fonds sans finaliser complètement ce dépôt. Quarante-sept minutes après l’alerte, la vulnérabilité est atténuée. Puis quelques heures plus tard, le problème est résolu.
L’entreprise regarde ensuite si le bug a été exploité. Un compte l’a effectivement employé pour se créditer de l’équivalent de 4 dollars en crypto. Cette action était suffisante pour “prouver la faille, déposer un rapport de bug bounty et recevoir une récompense très importante”, note Nick Percoco. Sauf que deux autres personnes, en lien avec le premier compte, ont profité de l’aubaine pour retirer près de 3 millions de dollars sur leurs comptes !
Quand Kraken demande des comptes à l’entreprise de sécurité informatique, on la renvoie alors vers la direction commerciale. Celle-ci appelle d’abord Kraken à faire son estimation du coût de la faille avant de retourner les fonds. “Ce n’est plus du hacking éthique mais de l’extorsion”, s’indigne Nick Percoco.
CertiK conteste toute intention malveillante
Si Kraken ne nomme pas précisément l’entreprise de sécurité informatique derrière ce bug bounty sauvage, l’intéressée, CertiK, sort très vite du bois. Le 19 juin, le jour même de la publication du thread de Nick Percoco, la firme réplique en signalant qu’elle avait identifié une série de vulnérabilités critiques qui auraient pu potentiellement “entraîner des pertes de plusieurs centaines de millions de dollars”.
Ces recherches avaient été lancées à l’initiative de Certik pour déterminer s’il était possible de manipuler les dépôts sur l’échangeur. “Aucune alerte n’a sonné pendant la période de test”, qui s’est étalée sur cinq jours, pointe l’entreprise.
Pour prouver ses bonnes intentions, CertiK assure ne pas avoir demandé de récompense. Elle estime au contraire avoir été sommée de rendre les fonds fabriqués dans un délai “déraisonnable”, un envoi rapide considéré comme risqué au vu des sommes en jeu.
Problème de communication ou mauvaise foi? Ces explications semblent ne pas avoir convaincu, en témoigne cette formule lapidaire d’un internaute: “Vous êtes cuits les gars”.