Kraken victime d’extorsion ? Un white hacker vole $3 millions et refuse les conditions du Bug Bounty

Kraken déclare être victime d’extorsion après qu’un bug a permis le vol de 3 millions de dollars en crypto : le hacker refuse de rendre les fonds sans obtenir de récompense.
hacker bitfinex crypto
Getting your Trinity Audio player ready...
  1. Un chercheur en sécurité a découvert un bug chez Kraken et a volé 3 millions de dollars, exigeant une récompense pour les fonds volés.
  2. Le responsable de la sécurité chez Kraken affirme que ces actions sont de l’extorsion et non du hacking éthique.
  3. Kraken affirme que les fonds des utilisateurs n’ont pas jamais été à risque.

L’échange crypto Kraken a révélé qu’une équipe de recherche détient toujours 3 millions de dollars d’actifs numériques appropriés via un bug récemment découvert.

Découverte du bug et white hack

Un chercheur anonyme autoproclamé en sécurité a découvert une faille critique et a alerté Kraken le 9 juin. Cependant, selon Nick Percoco, responsable de la sécurité chez Kraken, deux comptes associés à ce chercheur ont exploité la faille pour retirer plus de 3 millions de dollars d’actifs numériques.

Suite à ce retrait massif, le chercheur en sécurité exige une récompense pour les fonds volés. Percoco a écrit dans un post sur X le 19 juin : « Au lieu de cela, ils ont exigé un appel avec leur équipe de développement commercial et n’ont pas accepté de retourner les fonds tant que nous ne fournissons pas un montant spéculé que ce bug aurait pu causer s’ils ne l’avaient pas divulgué. Ce n’est pas du hacking éthique, c’est de l’extorsion ! »

Lorsque Kraken a réclamé un Proof of Concept afin d’étudier l’activité on-chain du white hacker, ce dernier a refusé, avant de réclamer une somme correspondant aux fonds qui auraient potentiellement été dérobés si la faille n’avait pas été découverte à temps.

Des pratiques déloyales ?

Selon Percoco, les crypto monnaies ont été volées directement dans la trésorerie de Kraken, sans mettre en danger les fonds des utilisateurs. L’un des trois comptes Kraken liés au hack avait auparavant complété la vérification KYC pour une personne se prétendant chercheur en sécurité, bien que son identité reste inconnue.

Le chercheur a initialement prouvé la faille avec un transfert de crypto d’une valeur de 4 dollars, ce qui aurait suffi pour prouver le bug et obtenir des « récompenses substantielles » du programme de bug bounty de Kraken. Cependant, l’individu a divulgué le bug à deux autres comptes qui ont frauduleusement siphonné près de 3 millions de dollars de leurs comptes Kraken.

Ces actions s’apparentent à de l’extorsion plutôt qu’à un comportement de hacker éthique, selon Percoco de Kraken :

Dans un souci de transparence, nous divulguons aujourd’hui ce bug à l’industrie. Nous sommes accusés d’être déraisonnables et non professionnels pour avoir demandé aux ‘hackers éthiques’ de rendre ce qu’ils nous ont volé. Incroyable.

Nous traitons cette affaire comme une affaire criminelle et nous coordonnons nos efforts avec les forces de l’ordre en conséquence

Articles qui pourraient vous intéresser