Kraken, la populaire plateforme d'échange de cryptomonnaies, a été secouée par un incident rocambolesque. Alors qu'un chercheur en sécurité alertait sur un bug critique, certains de ses associés auraient exploité la faille pour voler 3 millions de dollars avant de réclamer le versement d'une prime. Une situation qualifiée « d'extorsion » par Kraken.
En 2023, 1,7 milliard de dollars de cryptomonnaies ont été dérobés par les pirates à travers le monde, malgré une baisse de plus de 50 % par rapport à 2022, selon le dernier rapport publié par Chainalysis.
Pour pallier ces pertes, les échanges comme Kraken renforcent leurs programmes de bug bounty à l'image de celui de Poly Network, récompensant les experts qui décèlent des vulnérabilités. Une affaire qui n'est pas sans rappeler celle de la plateforme inter-blockchain Multichain en 2022.
En l'occurrence, ce système vertueux aurait dangereusement dévié entre les deux protagonistes, la plateforme d'échange de cryptomonnaies Kraken et la société en sécurité blockchain Certik. C'est la parole de l'un contre celle de l'autre.
Qu'est-ce qu'un hacker « white hat » ?
On les surnomme les « chapeaux blancs » du piratage : des experts en sécurité qui, au lieu d'exploiter les failles à des fins malveillantes, choisissent de les rapporter aux entreprises concernées. Un geste éthique et légal, généralement rémunéré via des programmes de « bug bounty ». L'idée ? Payer quelques milliers de dollars pour éviter un préjudice potentiellement colossal.
Ces spécialistes de la cybersécurité excellent dans l'art délicat du « hacking éthique ». En testant inlassablement les systèmes, ils reproduisent les schémas d'attaque dans un cadre autorisé et maîtrisé. Un jeu du chat et de la souris indispensable pour améliorer la robustesse des plateformes en ligne, à l'image des échanges de cryptomonnaies.
La version de Kraken, qui accuse Certik d'extorsion
Selon Nick Percoco, responsable sécurité de Kraken, tout a débuté le 9 juin par une alerte d'un prétendu chercheur en sécurité, signalant un bug « extrêmement critique ». La faille permettait d'enfler artificiellement les soldes, ouvrant la voie à un potentiel exploit massif.
L'équipe a rapidement corrigé le problème. Mais les investigations ont vite révélé que trois comptes distincts avaient déjà abusé du bug pour retirer plus de 3 millions de dollars ! Deux d'entre eux refuseraient désormais de restituer les fonds, réclamant au passage une prime en échange de leur silence sur la vulnérabilité. Une attitude d'«extorsion » dénoncée par Kraken, qui menace de poursuites judiciaires.
La version de Certik, qui accuse Kraken de menaces
De leur côté, les sociétés Certik et CertiK affirment avoir été les véritables découvreurs du bug. Après des « tests sur plusieurs jours », leurs experts auraient mis au jour une faille titanesque : la possibilité de générer des millions de dollars de cryptomonnaies à partir de n'importe quel compte Kraken !
Plutôt qu'une divulgation responsable, Certik accuse Kraken d'avoir menacé ses employés, réclamant un remboursement « déraisonnable » dans un délai trop court, sans fournir les bonnes adresses de remboursement. Une contre-attaque cinglante contre les accusations d'extorsion de la plateforme d'échange.
Quelles que soient les versions, un fait reste établi : les portefeuilles des clients Kraken sont demeurés intacts durant cet incident houleux.
Malgré sa jeunesse, l'application mobile Kraken Pro est plutôt réussie en termes de design et d'ergonomie, malgré quelques écrans un peu déroutants à la première utilisation. Alors que le service est disponible en français sur le site internet, l'application mobile n'est localisée qu'en anglais. Elle ne rassemble pas tous les services proposés sur la plateforme web, mais on ne peut pas vraiment s'en plaindre, ce ne sont pas ceux qu'on attend le plus sur une application mobile. Il est notamment impossible d'effectuer un dépôt ou un retrait de devise fiduciaire ou de cryptomonnaie.
Source : Cryptoast, Chainalysis
