Partager cet article
BTC
$81,349.25
+
0.18%ETH
$1,543.33
-
1.15%USDT
$0.9995
+
0.01%XRP
$1.9928
-
0.64%BNB
$580.97
+
0.85%SOL
$118.75
+
5.24%USDC
$0.9999
-
0.00%DOGE
$0.1572
+
1.24%TRX
$0.2369
-
0.97%ADA
$0.6161
+
0.78%LEO
$9.4116
-
0.26%LINK
$12.38
+
1.06%AVAX
$19.02
+
4.69%TON
$2.9223
-
1.11%XLM
$0.2322
-
0.36%SHIB
$0.0₄1197
+
0.54%HBAR
$0.1668
-
2.82%SUI
$2.1588
+
0.76%OM
$6.4054
-
0.28%BCH
$303.17
+
3.48%S'inscrire
- Retour au menu
- Retour au menuTarifs
- Retour au menuRecherche
- Retour au menuConsensus
- Retour au menu
- Retour au menu
- Retour au menu
- Retour au menuWebinaires et Événements
Kraken affirme que les pirates informatiques se sont tournés vers « l'extorsion » après avoir exploité un bug pour 3 millions de dollars
Le bug découvert par un « chercheur en sécurité » a conduit au vol de près de 3 millions de dollars dans les trésors de Kraken.
- Kraken a déclaré que des chercheurs en sécurité tiers ont découvert une vulnérabilité, qui a été corrigée par l'échange de Crypto .
- Les chercheurs ont secrètement retiré près de 3 millions de dollars et ont refusé de les restituer sans avoir vu au préalable le montant de la prime, a déclaré Kraken.
- L'éditeur de code Blockchain Certik a déclaré avoir trouvé une vulnérabilité dans la plateforme de Kraken et affirme avoir été « menacé » par l'échange.
La plateforme d'échange de Crypto Kraken a déclaré que les « chercheurs en sécurité » qui ont découvert une vulnérabilité sur la plateforme se sont tournés vers « l'extorsion » après avoir retiré environ 3 millions de dollars de la trésorerie de la plateforme.
Nick Percoco, responsable de la sécurité de Kraken, a déclaré dans un message publié sur la plateforme de médias sociaux X (anciennement Twitter) que l'entreprise avait reçu une alerte de « programme de primes aux bugs » de la part d'un chercheur en sécurité le 9 juin concernant une vulnérabilité permettant aux utilisateurs de gonfler artificiellement leur solde. Ce bug « permettait à un attaquant malveillant, dans certaines circonstances, d'effectuer un dépôt sur notre plateforme et de recevoir des fonds sur son compte sans l'avoir entièrement finalisé », a ajouté M. Percoco.
La Suite Ci-Dessous
Ne manquez pas une autre histoire.Abonnez vous à la newsletter Crypto for Advisors aujourd. Voir Toutes les Newsletters
Kraken Security Update:
— Nick Percoco (@c7five) June 19, 2024
On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.
Après avoir reçu le rapport, Kraken a rapidement résolu le problème et aucun fonds d'utilisateur n'a été affecté, a noté Percoco.
Ce qui s'est passé ensuite a soulevé des signaux d'alarme pour l'équipe du Kraken.
Après avoir découvert le bug, le chercheur en sécurité l'aurait révélé à deux autres personnes, qui auraient ensuite « frauduleusement » retiré près de 3 millions de dollars de leurs comptes Kraken. « Cela provenait des fonds de Kraken, et non d'autres actifs clients », a déclaré Percoco.
Le rapport de bogue initial ne mentionnait T les transactions des deux autres individus, et lorsque Kraken a demandé plus de détails sur leurs activités, ils ont refusé.
« Au lieu de cela, ils ont exigé un appel de leur équipe de développement commercial (c'est-à-dire de leurs commerciaux) et n'ont accepté de restituer aucun fonds tant que nous n'aurons pas fourni une estimation du montant que ce bug aurait pu causer s'ils ne l'avaient pas divulgué. Il ne s'agit pas de piratage informatique, mais d'extorsion ! » a écrit Percoco.
Kraken n'a T révélé qui étaient les chercheurs, mais l'éditeur de code blockchain Certik a déclaré par la suite dans un publication sur les réseaux sociaux qu'il a trouvé plusieurs vulnérabilités dans l'échange de Crypto .
Certik a déclaré avoir mené des tests sur plusieurs jours et noté que le bug pourrait être exploité pour créer des millions de dollars de Crypto. « Des millions de dollars peuvent être déposés sur n'importe quel compte Kraken. Une quantité importante de Crypto fabriquées (d'une valeur de plus d'un million de dollars) peut être retirée du compte et convertie en cryptomonnaies valides. Pire encore, aucune alerte n'a été déclenchée pendant la période de test de plusieurs jours », peut-on lire dans le message.
Cependant, Certik a déclaré que les choses ont mal tourné après la première conversation avec Kraken. « L'équipe de sécurité de Kraken a menacé des employés de CertiK de rembourser un montant de Crypto inadapté dans un délai déraisonnable, même sans fournir d'adresses de remboursement », a ajouté le post X.
Les programmes de primes aux bugs, utilisés par de nombreuses entreprises pour renforcer leurs systèmes de sécurité, invitent des pirates informatiques tiers, appelés « white hats », à identifier les vulnérabilités afin que l'entreprise puisse les corriger avant qu'un acteur malveillant ne les exploite. Coinbase, concurrent de Kraken, possède uneprogramme similairepour aider à alerter l'échange de vulnérabilités.
Pour être payé la prime, le programme de Kraken exige qu'un tiers trouve le problème, exploite le montant minimum nécessaire pour prouver le bug, restitue les actifs et fournisse des détails sur la vulnérabilité, a déclaré Kraken dans un communiqué.article de blog, ajoutant que puisque les chercheurs en sécurité n'ont T Réseaux sociaux ces règles, ils n'obtiendront T la prime.
« Nous avons contacté ces chercheurs de bonne foi et, conformément à notre programme de chasse aux bugs depuis dix ans, nous leur avons offert une prime conséquente pour leurs efforts. Nous sommes déçus par cette expérience et travaillons actuellement avec les forces de l'ordre pour récupérer les actifs de ces chercheurs en sécurité », a déclaré un porte-parole de Kraken à CoinDesk.
Sur le même sujet : Votre projet Crypto a besoin d'un shérif, pas d'un chasseur de primes
MISE À JOUR (19 juin, 18h30 UTC) :Mise à jour de l'histoire tout au long pour ajouter les commentaires de Certik.
