Une entreprise de sécurité devient « hacker » : retraçage des origines et déroulement de l'affrontement entre Kraken et CertiK
TechFlow SélectionTechFlow Sélection
Une entreprise de sécurité devient « hacker » : retraçage des origines et déroulement de l'affrontement entre Kraken et CertiK
Quand une société de sécurité se proclamant « chapeau blanc » devient un « pirate », les frontières entre le bien et le mal dans ce monde sauvage de Web3 ne semblent plus aussi nettes.
Dédié à des analyses Web3 approfondiesRédaction : TechFlow
Le 20 juin, l'actualité tourne autour d'une vive polémique entre la bourse de cryptomonnaies Kraken et l'entreprise de sécurité blockchain CertiK. Une guerre des discours fait rage sur les réseaux sociaux, où de nombreux acteurs influents du secteur accusent désormais CertiK de chantage et de comportements de pirate informatique. Que s'est-il passé ?
Depuis toujours, la bourse américaine Kraken dispose d'un programme de primes pour les vulnérabilités, récompensant toute personne ayant signalé un défaut de sécurité.
Le directeur de la sécurité de Kraken a indiqué sur X qu’un chercheur en sécurité avait rapporté via ce programme une faille critique.
Cette vulnérabilité permettait à un attaquant malveillant de générer des actifs dans son compte Kraken sans avoir effectué de dépôt préalable. Après avoir été informée, l'équipe de Kraken a immédiatement corrigé le problème.
Mais lors de l'analyse a posteriori, quelque chose cloche : le signalement ne venait pas d’un acteur bien intentionné.
Le chercheur en sécurité aurait augmenté le solde de son propre compte de 4 dollars. Pire encore, il aurait partagé cette faille avec deux autres personnes, qui ont retiré près de 3 millions de dollars de leurs comptes Kraken.
Kraken a alors tenté de coopérer avec le chercheur pour récupérer ces fonds, mais s’est heurté à un refus catégorique. Ce dernier exigeait que Kraken contacte son équipe commerciale (BD) et refuse de rembourser tant que Kraken n’aurait pas avancé un montant hypothétique de pertes potentielles. Il ne s'agit plus ici d'un comportement de hacker éthique, mais bel et bien d’un chantage !
L’équipe de sécurité de Kraken est furieuse. Elle considère que ces agissements relèvent du chantage, non du hacking éthique, et a décidé de traiter l'affaire comme un cas criminel, en coordination avec les autorités judiciaires.
Et devinez quelle entreprise refuse de restituer les fonds ?
Tout juste : l'autre protagoniste de cet article — la société de sécurité CertiK.
CertiK a répondu à ces accusations en substance ainsi :
CertiK affirme avoir découvert une faille majeure sur Kraken, susceptible de provoquer des pertes pouvant atteindre plusieurs centaines de millions de dollars. Lors de tests, trois problèmes principaux ont été identifiés. Plus grave encore, aucune alerte n’a été déclenchée pendant plusieurs jours de tests.
Après la correction de la faille, l’équipe opérationnelle de sécurité de Kraken aurait menacé les employés de CertiK de devoir rembourser des sommes disproportionnées dans des délais irraisonnables, sans même fournir d’adresse de restitution.
CertiK a ajouté une chronologie des événements, affirmant avoir détecté le problème dès le 5 juin.
À mesure que l'affaire s'ébruite, de nouveaux éléments apparaissent.
@0xBoboShanti a découvert qu’une adresse associée à un chercheur de CertiK était déjà active dans des phases de test et d’exploration dès le 27 mai, contredisant directement la chronologie publiée par CertiK.
Par ailleurs, @jconorgrogan, directeur exécutif chez Coinbase, a remarqué que CertiK avait interagi avec Tornado Cash, un mixeur spécialisé dans le blanchiment de fonds. Dans les commentaires, il leur lance : « Vous savez que Tornado Cash est sanctionné par l’OFAC (Office of Foreign Assets Control), n’est-ce pas ? Et votre siège est aux États-Unis, si je ne m’abuse ? »
En consultant les discussions sur X, on constate une avalanche de critiques, nombreuses voix accusant CertiK de s'être transformé d’organisme de sécurité en groupe de pirates criminels.
Hype, fondateur de Hype Investments, déclare :
« CertiK a volé 3 millions de dollars à Kraken, réclame une prime et refuse de rendre l’argent. Ils ont confirmé cela dans un tweet, puis transfèrent maintenant tous les fonds vers Tornado.cash pour éviter tout blocage par les autorités. »
Adam Cochran, influenceur crypto suivi par 210 000 personnes, ajoute : « CertiK vient d’admettre être une entreprise de sécurité ayant piraté Kraken et essayant maintenant de les faire chanter pour obtenir plus d’argent. Sachant que les audits de CertiK sont régulièrement suivis d’attaques, et maintenant ça… Le fait que CertiK existe encore est incroyable. Ce sont purement et simplement des criminels. »
Un simple observateur, @cryptopsychdoc, propose une comparaison cinglante :
« CertiK, c’est comme cette petite amie infidèle que vous surprenez : quand vous l’affrontez, elle retourne la situation en vous reprochant d’avoir fouillé dans son téléphone. »
Le CTO de Paradigm a relayé une ancienne annonce de levée de fonds de CertiK en ironisant : « Mes meilleurs vœux à vos partenaires investisseurs, qui vont devoir expliquer pourquoi leur société en portefeuille a piraté une bourse américaine, volé 3 millions de dollars, et blanchi l’argent via un protocole sanctionné par l’OFAC. »
Selon les informations précédentes, en avril 2022, CertiK avait annoncé une levée de fonds de 88 millions de dollars lors d’un tour B3, mené par Insight Partners, Tiger Global et Advent International, avec la participation de Goldman Sachs, Sequoia Capital et Lightspeed. En neuf mois, CertiK avait réalisé quatre tours de table pour un total de 230 millions de dollars, valorisant l’entreprise à 2 milliards de dollars.
Nous avons cherché une réponse plus directe de CertiK : Quand prévoient-ils de restituer les actifs ? Pourquoi refusent-ils de rembourser ? Si les montants sont incorrects, quel serait le bon chiffre ? Pourquoi interagir avec Tornado Cash ?
Mais la dernière réponse disponible reste celle où CertiK insiste lourdement : « La véritable question est de savoir pourquoi le système de défense en profondeur de Kraken n’a pas détecté autant de transactions-test. Les retraits importants effectués depuis différents comptes-test faisaient partie de nos procédures. »
Une forme de moquerie — Vous êtes simplement trop mauvais !
En résumé, lorsque des entreprises se présentant comme des hackers éthiques basculent dans le rôle de « pirates », les frontières entre le bien et le mal dans cet univers sauvage du Web3 semblent s’effacer.
Plus ironique encore : le nom « CertiK » dérive de l’anglais « Certification ». Quand le « certificateur » lui-même a besoin d’un audit moral, l'impression d’amateurisme devient criante.
Don't Trust, Just Verify.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
深潮TechFlow
