Une faille dans le protocole d’interopérabilité d’une société spécialisée dans les transferts de cryptomonnaies a permis de subtiliser des actifs évalués à 600 millions de dollars. C’est le plus gros vol jamais observé par le secteur.
« Cher hacker (…) nous voulons entrer en communication avec vous et vous exhorter à rendre les actifs que vous avez piratés », a écrit l’entreprise Poly Network dans une lettre adressée aux pirates informatiques et publiée sur Twitter. « La somme d’argent que vous avez piratée est la plus grosse dans l’histoire de la finance décentralisée », continue la société. « Cet argent vient de dizaines de milliers de membres de la communauté crypto ». En tout, le vol de jetons d’Ethereum, BinanceChain et OxPolygon représente quelque 600 millions de dollars, selon des calculs de Mudit Gupta, chercheur en cybersécurité et spécialiste de l’Ethereum. Poly Network n’a pas immédiatement répondu à une sollicitation de l’AFP.
Sur Twitter, l’entreprise a publié les adresses utilisées par les hackers et appelé les détenteurs de portefeuilles de cryptomonnaies à les « blacklister ». Les transferts de bitcoins et autres cryptoactifs reposent sur la technologie de la blockchain, qui permet a priori de se passer d’intermédiaires comme les banques, les transactions se faisant directement d’utilisateur à utilisateur. « Les autorités de n’importe quel pays vont considérer vos méfaits comme un crime économique majeur et vous serez poursuivis. (…) Vous devriez nous parler pour trouver une solution », insiste Poly Network dans sa lettre.
Prise de contrôle des « contrats »
Pour réaliser cet énorme coup, les pirates ont exploité une faille dans le protocole d’interopérabilité de Poly Network. Celui-ci permet de relier entre elles différentes blockchains pour, par exemple, exécuter des programmes appelés « contrats » sur plusieurs chaînes à la fois. Cette vulnérabilité permettait de prendre le contrôle des contrats de Poly Network. Ainsi, les attaquants pouvaient « réaliser des transactions à volonté et retirer n’importe quel montant du contrat », ont expliqué les experts en sécurité de SlowMist Zone. Bref, c’est du grand art.
Fin avril, les vols de cryptomonnaies, piratages et fraudes avaient atteint 432 millions de dollars en tout, selon CipherTrace. « Ce chiffre peut sembler petit comparé aux années passées, mais si on regarde plus en détail, on observe une tendance alarmante : les piratages dans la finance décentralisée représentent désormais plus de 60 % du volume total des piratages et vols », constate le cabinet spécialisé.