Getting your Trinity Audio player ready...
|
- Au terme d’une saga de plusieurs jours, Kraken a récupéré près de 3 millions de dollars d’actifs crypto « volés » par CertiK.
- CertiK affirme avoir testé les limites de sécurité de Kraken en transférant les fonds, provoquant des accusations de vol et d’extorsion.
- Malgré les disputes publiques au sujet du programme de récompense Bug Bounty et des procédure de retour des fonds, Kraken et CertiK ont pu se mettre d’accord sur un remboursement, avec les frais de transactions couverts par l’exchange.
Kraken a annoncé avoir récupéré près de 3 millions de dollars de crypto après un incident controversé impliquant la société de sécurité blockchain CertiK.
Cette restitution met fin à une dispute publique qui a débuté le 9 juin dernier.
La chronologie de l’incident
Tout a commencé lorsque CertiK, une firme spécialisée dans la sécurité blockchain, a découvert une faille critique permettant de retirer des fonds des comptes de Kraken. Plutôt que de simplement signaler le bug, CertiK a transféré près de 3 millions de dollars sur ses propres comptes ou des comptes de proches pour tester les limites de sécurité de Kraken. Ce geste a été perçu comme une tentative de vol par Kraken.
En effet, au lieu d’accepter la prime proposée par le programme de Bug Bounty de Kraken, en dévoilant les mouvements on-chain réalisés par CertiK, la société de sécurité blockchain a annoncé garder les fonds tant qu’un accord ne serait pas trouvé.
Les accusations et réactions
Kraken a immédiatement accusé CertiK de vol et d’extorsion. Nicholas Percoco, directeur de la sécurité de Kraken, a révélé que CertiK exigeait une récompense et une rencontre avec l’équipe de développement commercial de Kraken pour restituer les fonds.
CertiK, de son côté, a affirmé que leur intention était de démontrer la gravité de la faille et de tester les protections de Kraken.
Le retour des fonds
Le 20 juin, Nicholas Percoco a confirmé que les fonds avaient été retournés à Kraken, moins une petite somme perdue en frais de transaction. Cette restitution a été réalisée après des échanges tendus entre les deux parties. CertiK a expliqué que le transfert de près de 3 millions de dollars était nécessaire pour évaluer la robustesse des contrôles de risque de Kraken, et non pour extorquer des fonds.
Les programmes de bug bounty, qui récompensent les chercheurs en sécurité pour la découverte de vulnérabilités, sont courants dans l’industrie. Cependant, l’approche de CertiK a suscité des débats sur la frontière entre le hacking éthique et l’extorsion.