un nouveau hack bouscule l’industrie

0


Des pirates sont parvenus Ă  crĂ©er des cryptomonnaies qui n’existaient pas. GrĂące Ă  cette astuce, ils se sont attaquĂ©s Ă  un protocole de la finance dĂ©centralisĂ©e. Ils se sont ensuite envolĂ©s avec un butin de plusieurs millions de dollars. Explications.

Ce dimanche 2 juillet 2023, Poly Network, un pont de cryptomonnaies, c’est-Ă -dire une passerelle qui permet de transfĂ©rer des actifs d’une blockchain Ă  une autre, a Ă©tĂ© piratĂ©. Le protocole a annoncĂ© la suspension temporaire de ses services sur ses rĂ©seaux sociaux. Au terme de l’opĂ©ration, le voleur est reparti avec la coquette somme de 5,5 millions de dollars en devises numĂ©riques. Un total de 57 tokens diffĂ©rents ont Ă©tĂ© siphonnĂ©s par le biais de dix blockchains, dont le rĂ©seau Ethereum.

Pour mĂ©moire, Poly Network a dĂ©jĂ  Ă©tĂ© victime d’un piratage en 2021. Un hacker Ă©tait en effet parvenu Ă  s’emparer de 600 millions de dollars, rĂ©alisant le plus important piratage de l’industrie crypto de l’époque. Peu aprĂšs, l’attaquant, qui se prĂ©sentait comme un hacker Ă©thique, a acceptĂ© de rendre le butin, assurant n’avoir jamais eu l’intention de le conserver. Il a retournĂ© l’intĂ©gralitĂ© du magot aux dĂ©veloppeurs de Poly Network. En Ă©change de sa coopĂ©ration, Poly Network a mĂȘme offert une prime de 500 000 dollars au pirate et un poste de conseiller en sĂ©curitĂ©. Il a prĂ©fĂ©rĂ© dĂ©cliner la proposition.

À lire aussi : 197 millions de dollars de cryptos ont Ă©tĂ© volĂ©s grĂące Ă  une faille
 et une tactique bien connue

Comment les hackers ont crĂ©Ă© des cryptos Ă  l’aide d’une faille ?

Lors de la derniĂšre attaque, les assaillants ont exploitĂ© une faille de sĂ©curitĂ© dans un smart contract, ou contrat intelligent, les programmes automatisĂ©s qui permettent aux ponts d’échanger des cryptomonnaies entre les chaĂźnes de blocs. Les pirates ont utilisĂ© une fonction permettant de crĂ©er, en ne se basant sur absolument rien, des actifs numĂ©riques qui n’existent pas sur les blockchains.

Comme l’explique le fondateur de 3z3 Labs, un incubateur de start-ups dĂ©centralisĂ©, Arhat, ils ont pu Ă©mettre « des milliards de jetons sur diverses chaĂźnes de blocs qui n’existaient pas auparavant et les transfĂ©rer vers leurs propres adresses de portefeuille ». Dans le dĂ©tail, les hackers ont d’abord injectĂ© des paramĂštres malveillants dans un contrat intelligent pour le berner. Ensuite, ils ont exploitĂ© le contrat pour qu’il Ă©mette des tokens sur des chaĂźnes qui ne sont pas censĂ©es accueillir ces cryptomonnaies. Ils ont par exemple Ă©mis 100 millions de BNB et 10 milliards de dollars de BUSD, deux cryptomonnaies de Binance, sur le rĂ©seau Metis. Les hackers ont rĂ©pĂ©tĂ© le processus Ă  plusieurs reprises.

Juste aprĂšs l’attaque, le portefeuille numĂ©rique des pirates contenait jusqu’à 42 millions de dollars. Malheureusement pour les criminels, certaines des cryptomonnaies choisies manquaient cruellement de liquiditĂ©s, ce qui a rĂ©duit le butin Ă  5,5 millions de dollars. En fait, une partie des altcoins Ă©mis n’avaient finalement pas la moindre valeur, du moins sur la chaĂźne choisie, souligne Arhat. C’est le cas des BNB et des BUSD Ă©mis sur MĂ©tis. L’absence de liquiditĂ©s sur le rĂ©seau a empĂȘchĂ© les criminels de retirer leurs gains. Sur Ethereum et d’autres rĂ©seaux, les hackers ont nĂ©anmoins pu convertir leurs tokens par le biais de plates-formes dĂ©centralisĂ©es.

En marge de l’attaque, les Ă©quipes de Poly Network ont demandĂ© aux investisseurs de retirer leurs fonds du protocole par mesure de sĂ©curitĂ©. Les dĂ©veloppeurs sont Ă©galement entrĂ©s en contact avec les autoritĂ©s et les plates-formes d’échange pour localiser les fonds volĂ©s et pousser l’attaquant Ă  rendre l’argent. Pour l’heure, rien n’indique que celui-ci a l’intention de rembourser les sommes volĂ©es
 Du reste, le Poly Network est toujours hors service.

Le danger des ponts blockchain

Les ponts entre les blockchains font partie des cibles privilĂ©giĂ©es des pirates. Ils reprĂ©sentent une grande partie des piratages les plus lucratifs. Citons le hack de Ronin, un rĂ©seau parallĂšle Ă  la blockchain Ethereum, qui s’est soldĂ© par le vol de 624 millions de dollars, le piratage de Wormhole (326 millions), de Nomad (190 millions) ou encore d’Harmony (100 millions de dollars).

D’aprĂšs les experts de Chainalysis, ces protocoles sont particuliĂšrement vulnĂ©rables aux attaques, notamment Ă  cause de leur propension Ă  divulguer l’intĂ©gralitĂ© de leur code, y compris celui des contrats intelligents, sur la toile par souci de transparence. Les voleurs sont donc libres d’explorer le code Ă  leur guise pour y dĂ©nicher une vulnĂ©rabilitĂ©. De plus, il s’avĂšre qu’une grande partie des protocoles de la finance dĂ©centralisĂ©e nĂ©gligent d’auditer correctement leur code par un spĂ©cialiste en amont du lancement.

Source :

Decrypt



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *