Kraken a accusé une firme de recherche en sécurité non nommée de voler 3 millions de dollars de son trésor et de tenter d’extorquer plus d’argent. Nick Percoco a déclaré que les hackers chapeau blanc soi-disant n’ont pas pleinement divulgué les détails de la transaction de bug et n’ont pas pris de dispositions pour retourner les fonds volés.
Kraken qualifie les exigences du cabinet de recherche sur la sécurité de « criminelles » ; Certik dénonce les menaces contre ses employés
Cet article a été publié il y a plus d'un an. Certaines informations peuvent ne plus être actuelles.
ÉCRIT PAR
PARTAGER
Les hackers chapeau blanc refusent de respecter les règles
L’échange de cryptomonnaies américain Kraken a accusé une firme de recherche en sécurité non nommée de siphonner illégalement 3 millions de dollars de son trésor et de tenter d’extorquer plus d’argent. Nick Percoco, le directeur de la sécurité de Kraken, a révélé dans un post sur X (anciennement Twitter) que ces actions des hackers chapeau blanc s’écartent de la pratique normale.
Kraken a dit que dans les dix années d’existence de son programme de prime aux bugs, il n’a jamais rencontré de chercheurs en sécurité qui refusaient de suivre ses règles. Selon Percoco, les participants au programme sont tenus de retourner immédiatement tout fond extrait lors de l’identification de bugs. De plus, ils doivent fournir une preuve de concept et éviter d’exploiter excessivement le bug.
Les hackers chapeau blanc accusés de manquer de professionnalisme
Cependant, selon Percoco, les hackers chapeau blanc n’ont pas pleinement divulgué les détails de la transaction de bug et n’ont pas pris de dispositions pour retourner les fonds volés. Au lieu de retourner l’argent, la firme de recherche a accusé Kraken d’être «déraisonnable» et «non professionnel».
“En tant que chercheur en sécurité, votre licence pour ‘hacker’ une entreprise est activée en suivant les règles simples du programme de prime aux bugs auquel vous participez. Ignorer ces règles et extorquer l’entreprise révoque votre ‘licence pour hacker’. Cela fait de vous, et de votre entreprise, des criminels,” a déclaré Percoco.
Il a ajouté que bien que Kraken ait contacté les agences d’application de la loi, le programme de prime aux bugs continue de servir de bouclier vital pour l’échange de crypto. Percoco, cependant, n’a pas divulgué le nom de la firme de recherche parce qu’elle ne mérite pas de reconnaissance pour ses actions.
Certik critique les menaces de Kraken
Pendant ce temps, quelques heures après que Kraken a fait des allégations d’extorsion, la firme de sécurité blockchain Certik a révélé qu’elle était la firme de recherche en sécurité impliquée. Cependant, Certik a accusé Kraken de menacer ses employés en exigeant le retour d’un «montant de crypto non correspondant» dans un délai déraisonnable.
Notablement, Kraken aurait fait cette demande sans fournir d’adresses de remboursement, a affirmé la firme de sécurité. Certik a souligné que Kraken devrait cesser de lancer des menaces et s’est engagé à transférer la crypto non correspondante à un compte accessible par l’échange de cryptomonnaies.
“Comme Kraken n’a pas fourni d’adresses de remboursement et que le montant demandé était non correspondant, nous transférons les fonds basés sur nos dossiers à un compte auquel Kraken pourra accéder,” a déclaré Certik.
Dans des mises à jour ultérieures, Certik a semblé répondre aux préoccupations soulevées concernant le nombre de tests qu’elle a effectués en demandant pourquoi le système de défense vanté de Kraken n’a pas détecté autant de transactions de test. Certik a affirmé que les retraits importants continus à partir de différents comptes de test faisaient, en fait, partie de notre test.
Quelle est votre opinion sur cette histoire ? Partagez vos avis dans la section commentaires ci-dessous.
