Le programme Kraken Bug Bounty corrige un bug isolé

Dans le cadre de notre engagement continu à améliorer la sécurité globale de l'écosystème crypto, nous informons la communauté crypto que nous avons corrigé un bug isolé dans nos systèmes de dépôt et de financement. Aucun actif client n'a été impacté ou vulnérable avant cette divulgation. Kraken a corrigé le bug.

Le bug a été découvert par une société de recherche en sécurité tierce qui avait exploité la faille à des fins lucratives avant de la signaler au programme Bug Bounty de Kraken. Cette faille permettait à certains utilisateurs, pendant une courte période, d'augmenter artificiellement la valeur du solde de leur compte Kraken sans effectuer entièrement un dépôt.

Une fois le problème découvert, un effort interfonctionnel chez Kraken a permis d'atténuer le problème en moins d'une heure. Nous avons ensuite testé minutieusement la solution pour nous prémunir contre des problèmes similaires à l'avenir.

Malheureusement, les chercheurs tiers qui ont découvert le bug ont agi de mauvaise foi et en dehors des règles de notre programme Bug Bounty, en vigueur depuis près d'une décennie. Les meilleures pratiques du secteur en matière de programmes Bug Bounty impliquent généralement une collaboration minutieuse entre les deux parties, les chercheurs en sécurité étant censés :

Nous ne créditerons pas le chercheur de cette divulgation, car il n'a respecté aucune de ces attentes de l'industrie.

En échange des signalements de bug bounty, les développeurs comme Kraken sont censés être attentifs, corriger rapidement le problème sous-jacent et reconnaître publiquement le travail incroyable du chercheur. Plus important encore, ils sont également censés récompenser le chercheur en lui versant une généreuse prime. Nous avons activement agi pour respecter notre part du contrat.

La recherche en matière de sécurité n'est pas une nouveauté pour Kraken, qui est profondément ancrée dans le secteur de la sécurité informatique. Notre équipe Kraken Security Labs a fait ses preuves en matière de découverte et de signalement de vulnérabilités de sécurité à d'autres fournisseurs de crypto-monnaies, notamment Ledger et Trezor, pour les aider à améliorer leurs produits.

Nous comprenons la valeur que la recherche externe en matière de sécurité peut apporter et la manière dont elle peut améliorer l'écosystème au sens large. Il n'existe tout simplement pas de meilleur moyen de sécuriser tous les utilisateurs à la frontière de la cryptographie que de travailler en collaboration.

« En tant que leader ayant des racines dans la communauté des hackers, je peux témoigner de l'importance de tirer parti des compétences, des connaissances et de l'expertise de l'ensemble de la communauté de la sécurité pour améliorer les stratégies de sécurité et les contrôles de gestion des risques des entreprises », a déclaré Nick Percoco, directeur de la sécurité de Kraken.

Nous considérons notre programme Bug Bounty comme un bouclier essentiel pour la mission de Kraken et un élément clé de nos efforts pour améliorer nos systèmes et processus de sécurité globaux. Nous avons travaillé avec de nombreux chercheurs en sécurité talentueux et de bonne foi au fil des ans et nous sommes impatients de poursuivre ce travail à l'avenir.

Ces documents sont fournis à titre d'information générale uniquement et ne constituent pas des conseils d'investissement, ni une recommandation ou une sollicitation d'achat, de vente, de mise en jeu ou de détention de crypto-actifs, ni de participation à une stratégie de trading spécifique. Kraken ne fait aucune déclaration ni ne donne aucune garantie, expresse ou implicite, quant à l'exactitude, l'exhaustivité, l'actualité, la pertinence ou la validité de ces informations et ne sera pas responsable des erreurs, omissions ou retards dans ces informations ou des pertes, blessures ou dommages résultant de leur affichage ou de leur utilisation. Kraken ne travaille pas et ne travaillera pas à augmenter ou à diminuer le prix d'un crypto-actif particulier qu'il met à disposition. Certains produits et marchés cryptographiques ne sont pas réglementés et vous pouvez ne pas être protégé par des régimes de compensation et/ou de protection réglementaire gouvernementaux. La nature imprévisible des marchés des crypto-actifs peut entraîner une perte de fonds. Des impôts peuvent être payables sur tout retour et/ou sur toute augmentation de la valeur de vos crypto-actifs et vous devez demander un avis indépendant sur votre situation fiscale. Des restrictions géographiques peuvent s'appliquer.