Kraken, l'un des plus grands courtiers de crypto-monnaie au monde, a révélé avoir trouvé un bug critique sur sa plateforme. En bref, la vulnérabilité a permis aux pirates d’imprimer de l’argent sur leurs comptes.
L'information a été présentée par Nick Percoco, directeur de la sécurité de Kraken, ce mercredi (19).
"Nous avons découvert un bug isolé", a écrit Percoco. "Cela a permis à un attaquant malveillant, dans des circonstances appropriées, d'initier un dépôt sur notre plateforme et de recevoir des fonds sur son compte sans le terminer complètement."
« Pour être clair, aucun actif de client n’était menacé. Cependant, un attaquant malveillant pourrait effectivement « imprimer » les actifs de votre compte Kraken pendant un certain temps.
Ensuite, le dirigeant de Kraken souligne que la faille a été corrigée en 47 minutes et ne représente donc plus aucune menace.
Kraken fournit plus de détails sur la vulnérabilité
Expliquant la situation, Kraken a révélé que le bug était lié à une récente modification de son site Web qui permettait à ses utilisateurs d'échanger des crypto-monnaies avant que les dépôts ne soient confirmés.
Au total, trois comptes auraient abusé de la faille, l'un d'eux était au nom du hacker qui a envoyé le rapport au courtier.
"Cet individu a découvert le bug dans notre système de financement et l'a utilisé pour créditer son compte de 4 $ de crypto-monnaie", a écrit Kraken. "Cependant, ce "chercheur en sécurité" a révélé ce bug à deux autres personnes avec lesquelles il travaille, qui ont généré frauduleusement des sommes bien plus importantes."
C'est là que l'histoire devient encore plus intéressante. En effet, le courtier et les pirates se sont disputés.
Kraken accuse les pirates d'extorsion
La vulnérabilité a été signalée à la bourse via son programme de bug bounty. Selon la page de Kraken, les prix varient entre 500 et 1,5 million de dollars, selon la gravité de l'échec.
Cependant, Nick Percoco affirme que les pirates n'ont pas divulgué les données sur les deux autres comptes qui ont permis de récolter 3 millions de dollars. Par la suite, le directeur de la sécurité de Kraken note que les pirates n'ont pas accepté les conditions du programme, mais en ont plutôt imposé de nouvelles.
"Ils ont exigé un appel avec leur équipe de développement commercial", a écrit Percoco. "Ils n'ont pas accepté de restituer des fonds tant que nous n'avons pas fourni un montant spéculatif que ce bug aurait pu causer s'ils ne l'avaient pas divulgué."