Passer au contenu

Oups, un bug a permis de créer des cryptos à volonté

Une vulnérabilité a été découverte sur la plateforme d’échange de cryptomonnaies Kraken. La brèche permet à un attaquant de s’enrichir aisément. La faille a semé la discorde entre l’exchange et les chercheurs en sécurité à l’origine de l’enquête.

Kraken, l’une des plus anciennes plateformes d’échange de cryptomonnaies, indique avoir été victime d’une sérieuse faille de sécurité. Dans un billet publié sur son compte X (ex-Twitter), Nick Percoco, le responsable de la sécurité de Kraken, explique que l’exchange a reçu « une alerte du programme Bug Bounty » de la part d’un chercheur. Ce programme doit encourager les chercheurs et les hackers éthiques à découvrir et à signaler des vulnérabilités dans le système de Kraken. En échange de leur travail, ceux-ci peuvent recevoir une prime.

À lire aussi : Les géants de la crypto se remettent enfin du krach du Bitcoin

Créditer un compte artificiellement

D’après le chercheur qui a contacté Kraken, ce bug permet de gonfler artificiellement le solde d’un compte. En gros, un utilisateur pouvait décréter que son compte était tout à coup crédité de plusieurs millions de dollars. Dans les détails, le bug laisse un attaquant initier « un dépôt sur notre plateforme et recevoir des fonds sur son compte sans finaliser complètement le dépôt », souligne le responsable.

En l’espace de quelques minutes, les équipes de Kraken ont confirmé l’existence d’une vulnérabilité zéro day, c’est-à-dire encore inconnue. Il aura fallu moins d’une heure à l’exchange pour corriger la brèche. Apparemment, la vulnérabilité a été introduite par un récent changement de l’interface qui n’a pas été « testé de manière approfondie ».

Kraken s’est rendu compte que la vulnérabilité a été exploitée par trois comptes à quelques jours d’intervalle. L’un des comptes avait rempli le formulaire KYC (Know Your Customer), qui permet de vérifier l’identité du propriétaire, ce qui a permis à Kraken de remonter jusqu’au nom d’un des attaquants. Il s’agissait d’un chercheur en sécurité.

Celui-ci a communiqué au sujet de la brèche avec deux autres comptes, explique Nick Percoco. Après avoir généré des cryptomonnaies artificiellement, ils ont retiré « près de 3 millions de dollars » issus « de la trésorerie de Kraken ». L’exchange explique avoir pris contact avec les individus pour organiser le retour des fonds et le versement d’une prime. La plateforme affirme s’être heurtée à un refus.

Une tentative d’extorsion ?

D’après Percoco, les attaquants ont refusé de rendre l’argent et exigé que Kraken communique « un montant spéculatif en dollars » des dégâts potentiels de ce bug. Pour l’exchange, la conversation s’est dès lors transformée en tentative d’extorsion. C’est pourquoi « nous traitons cette affaire comme une affaire criminelle et nous nous coordonnons en conséquence avec les forces de l’ordre », précise Kraken.

Il s’est avéré que des employés de Certik, une société de cybersécurité spécialisée dans la blockchain, sont à l’origine du transfert de fonds. Peu après la publication de Nick Percoco, la firme a en effet révélé que ce sont ses chercheurs qui ont découvert « une série de vulnérabilités critiques » dans le fonctionnement de l’exchange. C’est dans le cadre de leurs expérimentations que ceux-ci ont transféré des fonds en dehors de l’infrastructure de Kraken.

« Des millions de dollars peuvent être déposés sur N’IMPORTE QUEL compte Kraken. Une énorme quantité de crypto fabriquées (d’une valeur de plus de 1 million de dollars) peut être retirée du compte et convertie en cryptos valides », explique Certik.

Dans la foulée, Certik dément fermement avoir voulu voler de l’argent à Kraken. Dans une publication sur X, la société indique que « l’équipe des opérations de sécurité de Kraken » n’a pas hésité à proférer des menaces à l’encontre de ses experts. L’équipe en charge de la sécurité de l’exchange aurait exigé que les employés remboursent « un montant INCOMPARABLE de cryptos dans un délai DÉRAISONNABLE, même SANS fournir d’adresses de remboursement ».

Vu que Kraken « n’a pas fourni d’adresses de remboursement et que le montant demandé ne correspondait pas, nous transférons les fonds sur la base de nos dossiers vers un compte auquel Kraken pourra accéder », conclut la société d’audit. Dans un souci de transparence, Certik a ensuite dévoilé la ligne du tout des événements, incluant la liste de toutes les transactions réalisées par les chercheurs. Comme promis, Certik a promptement organisé le retour des fonds. Dans un second billet, le chef de la sécurité de Kraken a d’ailleurs annoncé que les cryptomonnaies subtilisées ont bien été rendues. Tout est donc rentré dans l’ordre.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Florian Bayard