Vol de clé API de Kronos Research

Le 19 novembre 2023, la firme de trading basée à Taipei Kronos Research a publiquement divulgué que 26 millions de dollars avaient été volés via une cyberattaque sur l'infrastructure API de la firme. De manière critique, les attaquants n'ont pas volé les clés privées — ils ont volé les clés API qui contrôlaient l'autorité de retrait programmatique sur les wallets de Kronos. La compromission a forcé WOO Network, un grand exchange qui dépendait de Kronos comme market maker principal, à suspendre le trading.

Ce qui s'est passé

Kronos Research opérait comme un market maker haute fréquence, exécutant trading automatisé et rebalancement sur plusieurs exchanges et protocoles DeFi. L'automatisation de la firme s'appuyait sur des clés API — credentials de compte de service qui autorisaient des actions programmatiques incluant les retraits de wallets dans des limites pré-configurées.

Les attaquants ont compromis ces clés API par des moyens que Kronos n'a pas détaillés publiquement. Avec les clés en main, ils ont pu :

1. Initier des retraits depuis les wallets de Kronos via les mêmes chemins programmatiques que Kronos utilisait elle-même.
2. Drainer environ 26 M$ en actifs mixtes avant que la firme ne détecte l'activité non autorisée et fasse tourner les credentials.

Les configurations de limite de retrait sur les clés API n'ont pas attrapé l'activité à temps — soit parce que l'attaquant est resté dans les limites configurées par action et a effectué de nombreuses actions, soit parce que les limites avaient été fixées de manière permissive pour la commodité opérationnelle.

Conséquences

• Kronos a arrêté toutes les opérations de trading pour conduire une enquête approfondie.
• WOO Network, dépendant de Kronos pour la liquidité de market making, a suspendu le trading entièrement jusqu'à ce que des arrangements alternatifs puissent être faits.
• Kronos a confirmé que la perte serait absorbée en interne sans affecter les partenaires ou contreparties.
• Les fonds volés ont été blanchis ; aucune récupération publique.

Pourquoi c'est important

L'incident Kronos Research est le cas canonique pour pourquoi la sécurité des clés API est une préoccupation de custodie, pas seulement opérationnelle. De nombreuses firmes — exchanges, market makers, processeurs de paiement — opèrent de grandes portions de leur business via des clés API qui ont une autorité de signature effective sur les wallets. Le modèle de confiance est « la clé API est liée à un compte de service spécifique avec un scope de permissions configuré » — mais en pratique :

• Les clés API sont stockées sur des serveurs opérationnels avec une surface d'attaque plus large que les clés de signature isolées par HSM.
• Leurs scopes de permissions sont généralement configurés pour le cas typique, pas pour le scénario d'attaquant au pire cas.
• Elles sont routinièrement exposées à une population plus large d'employés (opérations, devops, ingénierie) que les clés privées elles-mêmes ne le seraient.

Les best practices modernes depuis l'incident Kronos incluent :

• Limites de vélocité de retrait par clé plus serrées avec auto-suspension en cas d'anomalie.
• Confirmation hors bande requise pour les retraits vers des adresses externes.
• Clés API adossées à HSM qui ne peuvent pas être exfiltrées de l'hôte même si le serveur est compromis.
• Adresses de destination whitelistées pour toute autorité de retrait programmatique.

La leçon, payée chez Kronos : une clé privée dans un module de sécurité hardware est significativement différente d'une clé privée dans un wallet logiciel, et une clé API autorisée à agir sur l'une ou l'autre est sa propre classe d'actif avec son propre modèle de menace.