Un white hat a signalé à l’exchange Coinbase une faille dans sa plateforme. Pour ce bug, le hacker a été récompensé à hauteur de 250.000 dollars. Sur Twitter, des internautes jugent cette prime trop faible.
Le grand show de Coinbase lors du Super Bowl aurait pu dérailler. C’est ce que suggère Cointelegraph qui relate les tentatives d’un hacker pour alerter l’exchange américain d’une vulnérabilité potentiellement critique.
Tree of Alpha, son pseudo sur Twitter, détectait une faille dans une API de l’exchange américain le 11 février. Celle-ci se situait dans la nouvelle fonctionnalité de trading avancé de la plateforme.
Quel est le prix d’une vulnérabilité ?
Le hacker, ingénieur de profession, précise que l’exploitation de la vulnérabilité par un pirate aurait permis à ce dernier de vendre du Bitcoin ou d’autres altcoins sans même détenir les jetons. Une information qui a en effet de quoi intéresser les développeurs et dirigeants de la crypto-bourse.
Précisons que la fonctionnalité de trading avancé n’était alors accessible qu’à un nombre restreint d’utilisateurs de Coinbase. Celle-ci était en effet encore en phase Beta. Pour cette alerte de sécurité, le hacker a été récompensé.
Dans le cadre de son programme de Bug Bounty, les chercheurs sont rétribués, ce qui encourage le signalement responsable de failles. Tree of Alpha a donc perçu la somme de 250.000 dollars. Sur Twitter, des internautes ont jugé cette prime largement insuffisante. Pour le lanceur d’alerte, cette somme n’a cependant rien d’insultante.
Il est courant dans la sphère crypto de perdre le sens de la valeur de l’argent. Pour la plupart des êtres humains qui travaillent, 250.000 $ est une somme tout à fait décente”, déclare-t-il à nos confrères.
Le white hat – hacker éthique – a par ailleurs été rapidement remercié par le PDG de Coinbase, Brian Armstrong.
200.000 $ max versés par Microsoft
Quant au montant, il n’est en effet pas dérisoire. A titre de comparaison, Microsoft a versé aux hackers de son programme de bug bounty un total de 13,6 millions de dollars en 2021. La prime la plus importante était de 200.000 dollars.
En moyenne, la prime atteignait 100.000 dollars, précise encore l’éditeur dont les logiciels sont déployés auprès de centaines de millions d’utilisateurs dans le monde. En comparaison, Google versait 8,7 millions de dollars en 2021.
La prime la plus conséquente s’élevait à 157.000 dollars pour un bug de sécurité dans Android. Il ne s’agit de rien d’autre que le système d’exploitation mobile le plus installé au monde.
Alphabet est en outre l’une des plus grandes entreprises mondiales en termes de capitalisation (1700 milliards de dollars). C’est largement plus que les 50 milliards de dollars de la jeune licorne Coinbase. Pourtant, les chercheurs en sécurité ne sont pas légion à accuser Google d’avarice sur Twitter. A tort ou à raison ?
Suivez Coins.fr sur Twitter, Linkedin, Google, Facebook ou Telegram pour ne rien manquer.