La firme de sécurité blockchain new-yorkaise CertiK vient de faire une révélation fracassante : elle est à l’origine d’un détournement de 3 millions de dollars de tokens de la plateforme d’échange Kraken. Mais l’affaire ne s’arrête pas là, car les fonds dérobés auraient ensuite transité par le très controversé mixer Tornado Cash, suscitant de nombreuses interrogations au sein de la communauté crypto.
La faille Kraken révélée au grand jour par son auteur
Dans une série de tweets publiés le 19 juin, CertiK a expliqué avoir identifié de “multiples vulnérabilités critiques” dans le système de dépôt de Kraken. D’après la firme, ces failles “auraient pu entraîner des centaines de millions de dollars de pertes” si elles avaient été exploitées à mauvais escient.
Mais loin de se contenter de ce constat alarmant, CertiK affirme être allée plus loin en exploitant elle-même ces failles. L’objectif ? Tester en conditions réelles la robustesse des systèmes de sécurité de l’exchange. Le résultat est sans appel : lors d’une période de test de plusieurs jours, “une énorme quantité de cryptos fabriquées (valant plus d’1 million de dollars) a pu être retirée du compte et convertie en cryptos valides”, sans déclencher la moindre alerte, assure CertiK.
Les grandes révélations de CertiK :
- Kraken présentait de multiples failles critiques dans son système de dépôt
- CertiK a réussi à détourner l’équivalent de plus de $3M de tokens
- Les retraits ont pu être effectués sans déclencher la moindre alerte chez Kraken
Un “white hat hacking” qui fait débat
Si CertiK assure avoir agi dans un esprit de transparence et de recherche en sécurité, cette opération de “white hat hacking” ne fait pas l’unanimité. Certains pointent du doigt le caractère unilatéral de ce test grandeur nature, mené sans l’accord préalable de Kraken.
L’équipe de sécurité de l’exchange aurait d’ailleurs très mal pris la chose, menaçant des employés de CertiK et exigeant un remboursement dans des délais jugés “déraisonnables”. Une attitude qui tranche avec la posture de chevalier blanc adoptée par CertiK.
Le casse-tête Tornado Cash
Autre zone d’ombre dans cette affaire : une partie des fonds détournés aurait transité par Tornado Cash avant d’être restitués à Kraken. Or ce protocole de mixage de transactions est dans le collimateur des autorités américaines, qui l’accusent d’être un outil privilégié du blanchiment d’argent.
Envoyer des fonds, même à titre de test, via une plateforme sanctionnée par l’OFAC pose de sérieuses questions sur les pratiques de CertiK.
Même si CertiK assure avoir retourné l’intégralité des tokens à Kraken, ce passage par Tornado Cash entache quelque peu l’image de “white hat” que tente de se donner la firme. Certains observateurs pointent également des incohérences dans la chronologie fournie, des adresses liées à CertiK ayant eu une activité suspecte sur plusieurs blockchains avant la date du 5 juin avancée par la société.
Cette affaire illustre toute la complexité des enjeux de sécurité dans l’écosystème blockchain. Si les failles découvertes chez Kraken sont indéniablement préoccupantes, la méthode employée par CertiK pour les révéler est également sujette à caution. Entre transparence et ingérence, “white hat” et “grey hat”, la frontière est parfois ténue. L’incident aura au moins eu le mérite d’ouvrir le débat sur les bonnes pratiques en matière d’audit de sécurité blockchain.
