C’est l’un des plus gros piratages de cryptomonnaies
jamais réalisé : mardi, des individus se sont introduits sur
la plateforme Poly Network, une plateforme de finance décentralisée
reposant sur la blockchain, et ont réussi à dérober l’équivalent de
610 millions de dollars de monnaies virtuelles. Mais contre toute
attente, une partie de cette somme a été restituée moins de 24
heures après les faits.
La cyberattaque a été annoncée mardi, dans un tweet de Poly Network.
Les adresses des portefeuilles de cryptomonnaies divulguées par la
plateforme montrent des transferts de 2858 jetons d’Ethereum d’une
valeur d’environ 267 millions de dollars, 6610 jetons de Binance
valant plus de 252 millions de dollars et environ 85 millions de
dollars en jetons USD Coin sur le réseau Polygon. Dans une lettre
adressée aux pirates informatiques, rendue publique sur Twitter,
Poly Network exhortait les auteurs des faits à rendre les actifs,
tout en évoquant les poursuites dont ils feraient l’objet.
Il semble que cela ait suffi à faire réfléchir les pirates, qui
avaient déjà restitué près de 260 millions de dollars d’actifs
mercredi à 18 heures, selon un communiqué de la plateforme
d’échanges. Ce 12 août, à 10 heures, 342 millions de dollars
d’actifs ont été rendus ; 268 millions de dollars d’Ethereum
manquent encore à l’appel.
Le plus gros braquage de monnaies virtuelles de l’histoire
Poly Network est ce que l’on appelle une plateforme de finance
décentralisée. Le principe d’un tel système financier, communément
appelé DeFi (decentralized finance), est de s’affranchir
d’intermédiaires centraux (tels que les maisons de courtage, les
bourses, les banques, etc.) ; il propose des services
financiers via des contrats intelligents sur des blockchains,
l’Ethereum la plupart du temps. Avec la DeFi, n’importe qui peut en
théorie prêter ou emprunter des fonds, spéculer sur des actifs,
souscrire une assurance contre les risques, etc. ; les
transactions sont effectuées directement entre les
utilisateurs.
L’acte dont a été victime Poly Network constitue le plus gros
braquage de monnaies virtuelles de l’histoire. Le précédent vol «
record » remonte à 2018, lorsque la
plateforme japonaise Coincheck s’est fait dérober l’équivalent de
530 millions de dollars. Les pirates auraient profité d’une faille
dans le protocole d’interopérabilité de Poly Network, qui connecte
différentes blockchains entre elles (Ethereum, Binance Smart Chain
et Polygon). La plateforme a joué la carte de la transparence, en
communiquant rapidement les adresses où les sommes volées avaient
été transférées. « Nous appelons les mineurs des échanges
blockchain et crypto affectés à mettre sur liste noire les jetons
provenant des adresses ci-dessus », pouvait-on lire mardi
dans un tweet.
Important Notice:
We are sorry to announce that
#PolyNetwork was attacked on @BinanceChain@ethereum
and @0xPolygon
Assets had been transferred to hacker’s following addresses:
ETH: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963
BSC: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71
Les principaux acteurs du secteur, notamment les PDG des
plateformes d’échange de cryptomonnaies Binance et OKEx, ont
rapidement exprimé leur soutien, garantissant une surveillance
accrue des flux. Tether, la société à l’origine de la troisième
plus grande cryptomonnaie au monde en termes de capitalisation
boursière, a quant à elle immédiatement gelé environ 33 millions de
dollars de jetons USDT associés à l’adresse de portefeuille du
pirate informatique.
La transparence dont a fait preuve Poly Network est aussi un
excellent moyen de mettre les white hats — des pirates qui
œuvrent généralement pour identifier des vulnérabilités et prévenir
les attaques — sur la piste des cybercriminels. C’est d’ailleurs
sans doute ce qui a poussé les auteurs du vol à restituer
rapidement une partie des fonds.
Un système financier qui « ressemble plus au Far West »
En effet, moins de 24h plus tard, une bonne partie des actifs
dérobés étaient déjà restitués, comme indiqué par ce tweet de Poly
Network :
$342 million (As of 12 Aug 08:18:29 AM +UTC)
of assets had been returned:
Ethereum: $4.6M
BSC: $252M
Polygon: $85M
« Je pense que cela démontre que même si vous pouvez
voler des crypto-actifs, il est extrêmement difficile de les
blanchir et de les retirer, en raison de la transparence de la
blockchain et de l’utilisation de l’analyse de la blockchain
», a commenté Tom Robinson,
scientifique en chef chez Elliptic, une société d’analyse de la
blockchain.
Quoiqu’il en soit, cette affaire est susceptible de nuire à Poly
Network, qui pourrait voir vaciller la confiance de ses
utilisateurs. À noter que ce cybercasse est survenu à peine
quelques jours après que le président de la Securities and
Exchange Commission, Gary Gensler, ait déclaré que les
plateformes financières décentralisées, aujourd’hui en plein essor,
méritaient un examen plus approfondi
du gouvernement. « À l’heure actuelle, nous n’avons tout
simplement pas assez de protection des investisseurs dans la
cryptographie. Franchement, en ce moment, ça ressemble plus au Far
West », déclarait-il.
Selon un rapport de la société de
renseignement cryptographique CipherTrace, les pertes dues au
vol, au piratage et à la fraude dans le secteur de la finance
décentralisée ont atteint un niveau record au cours des sept
premiers mois de l’année équivalent à 474 millions de dollars. De
janvier à juillet 2021, les actes de piratage ont représenté à eux
seuls 361 millions de dollars (soit trois plus qu’en 2020).
Cliquez pour
comprendre le fonctionnement des cryptomonnaies en 10 minutes.