Après la perte de 3 millions de dollars de la trésorerie de la bourse Kraken, l'auditeur de contrats intelligents CertiK a révélé un lien avec l'incident.
La plateforme de trading a tenté de récupérer immédiatement les fonds mais a eu recours aux forces de l'ordre, évoquant un cas d'extorsion.
CertiK partage son point de vue sur la perte de Kraken
La récente attaque de bugs de 3 millions de dollars sur la bourse Kraken a été liée au cabinet d'audit de contrats intelligents CertiK, qui a confirmé l'association. Ils ont découvert un certain nombre de vulnérabilités critiques qui pourraient potentiellement entraîner des pertes de plusieurs centaines de millions de dollars.
Après la découverte, les chercheurs ont pris l’initiative d’explorer la vulnérabilité, en posant trois questions pour étayer leurs recherches.
- Un attaquant peut-il usurper une transaction de dépôt sur un compte Kraken ?
- Un acteur malveillant peut-il retirer des fonds falsifiés ?
- Quels contrôles des risques et protection des actifs pourraient être déclenchés par une demande de retrait importante ?
Lire la suite : Kraken Review 2024 : sécurité et fonctionnalités
Selon CertiK, la plateforme de trading a échoué à tous les tests, ce qui a conduit à la conclusion que « le système de défense en profondeur du Kraken est compromis sur plusieurs fronts ».
« D'après le résultat de nos tests : Kraken Exchange a échoué à tous ces tests, ce qui indique que le système de défense en profondeur de Kraken est compromis sur plusieurs fronts. Des millions de dollars peuvent être déposés sur N'IMPORTE QUEL compte Kraken. Une énorme quantité de crypto-monnaies fabriquées (d'une valeur supérieure à celle-ci). 1 million de dollars) peuvent être retirés du compte et convertis en crypto-monnaies valides. Pire encore, aucune alerte n'a été déclenchée pendant la période de test de plusieurs jours. Kraken n'a répondu et a bloqué les comptes de test qu'après avoir officiellement signalé l'incident », lit-on dans le rapport . .
CertiK a soumis ces résultats à Kraken Exchange , dont l'équipe de sécurité les a qualifiés de « critiques », le niveau de notation le plus sérieux de la plateforme de trading. Malheureusement, tout cela a abouti à une affaire qui a nécessité l’intervention des forces de l’ordre.
« L'équipe des opérations de sécurité de Kraken a menacé certains employés de CertiK de rembourser un montant inapproprié de crypto-monnaies dans un délai déraisonnable, même sans fournir d'adresses de remboursement. Le consensus verbal atteint lors de notre réunion n'a pas été confirmé par la suite, ils nous ont accusés publiquement de vol et même directement. a menacé nos employés, ce qui est totalement inacceptable », a déclaré CertiK à BeInCrypto.
CertiK a exhorté Kraken à mettre fin aux menaces contre son identité, qu'il a qualifié de « hacker Whitehat ». L'auditeur de contrats intelligents a partagé toutes les transactions de dépôt test. Ils ont ajouté qu'ils avaient transféré tous les fonds sur un compte accessible auprès de Kraken.
L'auditeur est jugé pour une attaque de bug de 3 millions de dollars
Malgré les efforts de CertiK pour faire la lumière sur la question, la communauté crypto a critiqué les chercheurs, les poursuivant pour négligence . Un utilisateur note que "le sentiment autour de cette histoire aurait été plus positif si elle avait été résolue à l'amiable avec Kraken et publiée plus tard".
Le résumé de l'événement par le développeur Uttam Singh a ridiculisé plusieurs aspects qui font encore pencher la balance contre CertiK. Il souligne le fait que les chercheurs ont effectué plusieurs transactions et qu'ils ont attendu cinq jours avant de les divulguer.
Selon Meir Dolev, CTO de Cyvers, une adresse associée à Certik a créé un contrat sur le réseau Coinbase Layer-2 Base le 24 mai. Cela jette un doute sur l'affirmation de Certik selon laquelle la vulnérabilité a été découverte le 5 juin. L'adresse testerait également OKX et Coinbase pour voir si la même vulnérabilité que Kraken existe.
Lire la suite : Les 5 principales failles de sécurité cryptographique et comment les éviter
Sur la base de la réaction de la communauté, le sentiment général est que l'action n'était pas une recherche de sécurité de Whitehat, la participation des médias sociaux citant des preuves en chaîne. Cependant, cela n'a pas fait dérailler le cycle de financement de série B3 de CertiK, qui a permis de récolter la somme de 88 millions de dollars.
Les leaders du cycle de financement comprennent Insight Partners, Tiger Global et Advent International. Goldman Sachs , Sequoia et Lightspeed Venture Partners y ont également participé. Il convient de noter qu'il s'agissait de la quatrième levée de fonds de CertiK en neuf mois, pour un total de 230 millions de dollars.
L'article Des chercheurs de CertiK liés à une attaque Kraken de 3 millions de dollars apparaît en premier sur BeInCrypto .