C’est l’un des plus gros piratages de cryptomonnaies jamais réalisé : mardi, des individus se sont introduits sur la plateforme Poly Network, une plateforme de finance décentralisée reposant sur la blockchain, et ont réussi à dérober l’équivalent de 610 millions de dollars de monnaies virtuelles. Mais contre toute attente, une partie de cette somme a été restituée moins de 24 heures après les faits.
La cyberattaque a été annoncée mardi, dans un tweet de Poly Network. Les adresses des portefeuilles de cryptomonnaies divulguées par la plateforme montrent des transferts de 2858 jetons d’Ethereum d’une valeur d’environ 267 millions de dollars, 6610 jetons de Binance valant plus de 252 millions de dollars et environ 85 millions de dollars en jetons USD Coin sur le réseau Polygon. Dans une lettre adressée aux pirates informatiques, rendue publique sur Twitter, Poly Network exhortait les auteurs des faits à rendre les actifs, tout en évoquant les poursuites dont ils feraient l’objet.
Il semble que cela ait suffi à faire réfléchir les pirates, qui avaient déjà restitué près de 260 millions de dollars d’actifs mercredi à 18 heures, selon un communiqué de la plateforme d’échanges. Ce 12 août, à 10 heures, 342 millions de dollars d’actifs ont été rendus ; 268 millions de dollars d’Ethereum manquent encore à l’appel.
Le plus gros braquage de monnaies virtuelles de l’histoire
Poly Network est ce que l’on appelle une plateforme de finance décentralisée. Le principe d’un tel système financier, communément appelé DeFi (decentralized finance), est de s’affranchir d’intermédiaires centraux (tels que les maisons de courtage, les bourses, les banques, etc.) ; il propose des services financiers via des contrats intelligents sur des blockchains, l’Ethereum la plupart du temps. Avec la DeFi, n’importe qui peut en théorie prêter ou emprunter des fonds, spéculer sur des actifs, souscrire une assurance contre les risques, etc. ; les transactions sont effectuées directement entre les utilisateurs.
L’acte dont a été victime Poly Network constitue le plus gros braquage de monnaies virtuelles de l’histoire. Le précédent vol « record » remonte à 2018, lorsque la plateforme japonaise Coincheck s’est fait dérober l’équivalent de 530 millions de dollars. Les pirates auraient profité d’une faille dans le protocole d’interopérabilité de Poly Network, qui connecte différentes blockchains entre elles (Ethereum, Binance Smart Chain et Polygon). La plateforme a joué la carte de la transparence, en communiquant rapidement les adresses où les sommes volées avaient été transférées. « Nous appelons les mineurs des échanges blockchain et crypto affectés à mettre sur liste noire les jetons provenant des adresses ci-dessus », pouvait-on lire mardi dans un tweet.
Important Notice:
We are sorry to announce that #PolyNetwork was attacked on @BinanceChain @ethereum and @0xPolygon Assets had been transferred to hacker’s following addresses:
ETH: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963
BSC: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71— Poly Network (@PolyNetwork2) August 10, 2021
Les principaux acteurs du secteur, notamment les PDG des plateformes d’échange de cryptomonnaies Binance et OKEx, ont rapidement exprimé leur soutien, garantissant une surveillance accrue des flux. Tether, la société à l’origine de la troisième plus grande cryptomonnaie au monde en termes de capitalisation boursière, a quant à elle immédiatement gelé environ 33 millions de dollars de jetons USDT associés à l’adresse de portefeuille du pirate informatique.
La transparence dont a fait preuve Poly Network est aussi un excellent moyen de mettre les white hats — des pirates qui œuvrent généralement pour identifier des vulnérabilités et prévenir les attaques — sur la piste des cybercriminels. C’est d’ailleurs sans doute ce qui a poussé les auteurs du vol à restituer rapidement une partie des fonds.
Un système financier qui « ressemble plus au Far West »
En effet, moins de 24h plus tard, une bonne partie des actifs dérobés étaient déjà restitués, comme indiqué par ce tweet de Poly Network :
$342 million (As of 12 Aug 08:18:29 AM +UTC) of assets had been returned:
Ethereum: $4.6M
BSC: $252M
Polygon: $85MThe remaining is $268M on Ethereum
— Poly Network (@PolyNetwork2) August 12, 2021
« Je pense que cela démontre que même si vous pouvez voler des crypto-actifs, il est extrêmement difficile de les blanchir et de les retirer, en raison de la transparence de la blockchain et de l’utilisation de l’analyse de la blockchain », a commenté Tom Robinson, scientifique en chef chez Elliptic, une société d’analyse de la blockchain.
Quoiqu’il en soit, cette affaire est susceptible de nuire à Poly Network, qui pourrait voir vaciller la confiance de ses utilisateurs. À noter que ce cybercasse est survenu à peine quelques jours après que le président de la Securities and Exchange Commission, Gary Gensler, ait déclaré que les plateformes financières décentralisées, aujourd’hui en plein essor, méritaient un examen plus approfondi du gouvernement. « À l’heure actuelle, nous n’avons tout simplement pas assez de protection des investisseurs dans la cryptographie. Franchement, en ce moment, ça ressemble plus au Far West », déclarait-il.
Selon un rapport de la société de renseignement cryptographique CipherTrace, les pertes dues au vol, au piratage et à la fraude dans le secteur de la finance décentralisée ont atteint un niveau record au cours des sept premiers mois de l’année équivalent à 474 millions de dollars. De janvier à juillet 2021, les actes de piratage ont représenté à eux seuls 361 millions de dollars (soit trois plus qu’en 2020).