Le géant de l’échange de cryptomonnaies Kraken vient de récupérer 3 millions de dollars auprès de la société de recherche en sécurité Certik suite à un fiasco lié à un bug. Ce bug, découvert par des employés de Certik, aurait permis aux exploitants de frapper des millions en actifs numériques depuis les comptes de Kraken.
Cependant, au lieu de simplement signaler le bug, les employés de Certik ont procédé au retrait de 3 millions de dollars en exploitant eux-mêmes la vulnérabilité, avant d’exiger que Kraken honore une prime de bug bounty. Kraken a qualifié cet acte d’extorsion plutôt que d’actions honnêtes de la part de hackers éthiques.
Kraken récupère les fonds après des échanges tendus
Suite à cet incident, les échanges entre Kraken et Certik ont été assez houleux. Kraken a exigé que les employés remboursent la somme dans un délai jugé déraisonnable par Certik, sans même fournir d’adresses de remboursement.
Face à cette impasse, Certik a fini par annoncer qu’il transférerait les fonds sur un compte auquel Kraken pourrait accéder, en se basant sur ses propres registres puisque Kraken n’avait pas fourni d’adresses. Le Chief Security Officer de Kraken, Nick Percoco, a confirmé jeudi dernier que l’échange avait bien récupéré les fonds, à l’exception d’un petit montant perdu en frais.
Aucun fonds utilisateur n’a été perdu
Kraken a tenu à rassurer ses clients en précisant qu’aucun fonds utilisateur n’avait été perdu lors de ce fiasco. L’échange a également souligné que le bug avait été identifié et corrigé suite aux échanges initiaux fructueux avec Certik.
Ces évènements mettent en lumière l’importance cruciale d’un signalement responsable des bugs par les chercheurs en sécurité, dans un esprit de coopération plutôt que de chantage.
Nick Percoco, Kraken CSO
Les répercussions pour Certik
Si Kraken semble s’en sortir indemne de cet incident, il n’en va pas de même pour Certik. La société de recherche en sécurité fait face à un sérieux coup porté à sa réputation et à la confiance de ses partenaires.
Les actions de ses employés soulèvent des questions quant à l’éthique et aux protocoles en place chez Certik pour gérer ce type de situation. Il est probable que l’entreprise devra revoir ses processus internes et renforcer sa gouvernance pour éviter que de tels dérapages ne se reproduisent à l’avenir.
Les points clés à retenir :
- Kraken a récupéré 3 millions de dollars auprès de Certik suite à un bug exploité de manière malveillante par des employés de Certik
- Kraken a qualifié les actions des employés d’extorsion plutôt que de signalement responsable
- Aucun fonds utilisateur n’a été perdu dans l’incident
- Certik risque de voir sa réputation sérieusement entachée suite à ces évènements
Vers une nécessaire évolution des pratiques
Ce fiasco met en évidence la nécessité pour l’industrie de la sécurité blockchain d’évoluer vers des pratiques plus matures et standardisées en matière de divulgation des vulnérabilités. Des protocoles clairs, agréés par toutes les parties prenantes, permettraient d’éviter ce genre de dérive.
Il est dans l’intérêt de tous, exchanges comme sociétés de sécurité, de collaborer de manière transparente et éthique pour renforcer la sécurité de l’écosystème crypto dans son ensemble. Seule une approche concertée et responsable permettra de gagner durablement la confiance des utilisateurs.
