Certains détracteurs de la finance décentralisée l’appellent le “Far West” de l’industrie crypto, ce qui peut sembler hyperbolique d’un point de vue général. Ceci dit, rien que depuis le début de l’année, les hacks crypto ont coûté l’équivalent de 2,32 milliards de dollars aux plateformes DeFi. Ces “détracteurs” de la DeFi n’ont-ils donc pas raison après tout ?
Le concept de la finance décentralisée a vu le jour en 2009, juste après le lancement de Bitcoin. Cependant, le secteur n’a véritablement décollé qu’en 2020 avec l’introduction du yield farming par Compound Finance.
Aujourd’hui, le marché compte des milliers d’applications décentralisées (dApps). Selon DeFiLlama, la valeur totale verrouillée de la DeFi s’élève à 53,73 milliards de dollars, une capitalisation colossale qui attire les investisseurs, mais aussi les hackers.
Le triste bilan des hacks crypto
Pilier fondamental de la crypto, la DeFi est restée fidèle aux principes de décentralisation et de confidentialité de Bitcoin, se détachant complètement de toute emprise gouvernementale. Cette grande liberté est malheureusement une arme à double tranchant, surtout lorsqu’elle n’est pas contrôlée.
Selon la société de sécurité blockchain PeckShield, les hacks crypto ont valu 2,32 milliards de dollars (soit près du double du chiffre enregistré l’année dernière) à la DeFi depuis le début de cette année.
Au fil des ans, les pirates ont développé des systèmes très sophistiqués pour parvenir à leurs fins. Selon REKT, les méthodes de hacks crypto les plus utilisées sont : les honeypots, les exit scams et les flash loans. Pour en savoir plus sur les méthodes des hackers, nous vous invitons à lire notre guide sur les 10 scams crypto les plus courants dans le monde des cryptomonnaies.
Sans plus tarder, voici selon PeckShield, la liste des pires hacks crypto de l’année en cours.
Le réseau Ronin — 620 M$
En mars, Ronin Network, la sidechain Ethereum qui héberge le célèbre jeu crypto Axie Infinity, a perdu plus de 620 millions de dollars en ETH et USDC. Les attaquants auraient “utilisé des clés privées piratées pour effectuer de faux retraits” via deux transactions sur le pont Ronin.
L’attaque, qui a eu lieu le 23 mars, n’a été découverte qu’une semaine plus tard lorsqu’un utilisateur s’est vu refuser un retrait de 5 000 ETH. Au total, le groupe de pirates s’est emparé de 173 600 ETH et 25,5 millions d’USDC, soit près de 620 millions de dollars à la date du piratage.
Jusqu’à présent, l’attaque du réseau Ronin constitue le plus grand hack crypto de l’histoire, selon PeckShield.
Le Pont Wormhole — 320 M$
Le 2 février, un pirate a volé l’équivalent de 320 millions de dollars en Wrapped Ethereum (wETH) du protocole Wormhole, un bridge crypto très populaire qui relie des blockchains comme Solana, Ethereum, et Avalanche.
Notons que lorsque les utilisateurs de Wormhole placent leurs ETH en staking, ils reçoivent des tokens wETH, une crypto indexée à Ethereum.
Elliptic, une société pionnière en analyse blockchain, a révélé que l’attaque provenait d’une faille des comptes “gardiens” de Wormhole”. La faille aurait permis à l’attaquant d’émettre 120 000 wETH sans déposer des ETH. Ce dernier a ensuite échangé 93 750 wETH contre Ethereum et le reste contre Solana.
Au total, l’attaque a valu près de 320 millions de dollars à Wormhole, ce qui en fait l’un des plus gros hacks crypto de l’histoire.
Nomad Bridge — 190 M$
Le 2 août, des pirates ont volé environ 190 millions de dollars en crypto à Nomad, un outil qui permet aux utilisateurs de transférer des tokens d’une blockchain à une autre.
L’attaque serait due à une mise à jour du code de Nomad. En effet, une section du contrat intelligent était marquée comme “valide” à chaque fois que les utilisateurs effectuaient une transaction. Cela a permis aux pirates de retirer plus d’actifs que ceux qu’ils déposaient sur la plateforme. Ensuite, ces derniers ont répété le processus jusqu’à ce que 190 millions de dollars de crypto soient retirés du pont. Lorsque Nomad a découvert leur stratagème, il était déjà trop tard.
Beanstalk Farms — 182 M$
En avril, Beanstalk Farms, un protocole DeFi visant à équilibrer l’offre et la demande du marché crypto, s’est fait dépouiller 182 millions de dollars en cryptomonnaies.
Selon PeckShield, le pirate aurait demandé un flash loan pour pouvoir s’acheter la majorité des tokens de gouvernance. Ensuite, il a effectué un vote pour s’envoyer 182 millions de dollars. Ceci dit, son bénéfice réel n’était que de 80 millions de dollars, estime la société.
Wintermute — 160 M$
Wintermute est jusqu’à présent le dernier protocole DeFi à tomber dans le piège des hackers. À en croire le PDG de la plateforme, Evgeny Gaevoy, le hack provenait d’un bug critique du générateur d’adresses Ethereum Profanity. Au total, le hacker s’est emparé de 160 millions de dollars.
M. Gaevoy a précisé que le hacker avait utilisé l’outil pour générer une adresse unique afin de réduire les frais de transaction. L’attaque serait due à une erreur humaine.
Elrond — 113 M$
En juin, des pirates se sont servis d’une faille sur l’exchange décentralisé Maiar pour voler environ 1,65 million d’Elrond (EGLD), le token natif de la blockchain Elrond. D’après les chercheurs, l’attaquant aurait déployé un contrat intelligent et utilisé trois portefeuilles pour voler environ 113 millions de dollars d’EGLD.
Ensuite, il a vendu 800 000 jetons pour 54 millions de dollars sur le même DEX, avant de convertir le montant restant contre ETH sur des plateformes centralisées.
Horizon Bridge — 100 M$
Le 23 juin, soit quelques jours après le hack d’Elrond, les pirates ont dérobé près de 100 millions de dollars au pont Horizon. Horizon est un bridge crypto qui connecte les réseaux Ethereum, Binance Smart Chain et Harmony.
Selon PeckShield, plus de 98 millions de dollars ont été volés et convertis en Ethereum. Plus de 50 000 portefeuilles d’utilisateurs ont été touchés. Les pirates ont ensuite transféré 35 millions de dollars via Tornado Cash.
Qubit Finance — 80 M$
Le 28 janvier, le QBridge de Qubit Finance s’est fait dépouiller 206 809 Binance Coins (BNB). À la date du hack, la valeur des tokens s’élevait à 80 millions de dollars.
Selon Certik, une société spécialisée en sécurité blockchain, l’attaquant aurait exploité une faille du contrat QBridge pour émettre 77 162 qXETH (un token utilisé pour représenter les ETH transférés via le pont Qubit). Ensuite, il a effectué plusieurs faux dépôts avant de convertir les fonds en BNB.
Cashio — 48 M$
En mars, Cashio, un stablecoin basé sur Solana, a subi ce que ses développeurs appellent “un glitch d’émission infinie”. Au total, les pirates ont volé 48 millions de dollars au protocole, provoquant un effondrement du stablecoin CASH.
En effet, Cashio permet aux utilisateurs d’émettre le stablecoin CASH après chaque dépôt de LP tokens. L’attaquant aurait émis des milliards de CASH en déposant des USDC et de l’UST (le stablecoin déchu de Terra Luna) avant de les retirer via le DEX Saber.
Le stablecoin CASH, qui tirait sa valeur du dollar américain, s’est effondré à 0 $ après le piratage. Finalement, l’attaquant a restitué les fonds volés aux comptes qui détenaient moins de 100 000 $ et a promis de donner le reste à une association caritative. Depuis lors, l’affaire est tombée dans les oubliettes.
Scream — 38 M$
Scream, une plateforme de prêt basée sur la blockchain Fantom, a peut-être subi l’une des attaques DeFi les plus bêtes de cette année. En effet, juste après que les stablecoins Fantom USD (fUSD) et DEI ont perdu leur parité avec l’USD, la plateforme a contracté un prêt de 38 millions de dollars.
Puisque le protocole avait établi un cours fixe pour les deux stablecoins en question, la chute de leurs prix n’a pas été prise en compte par Scream. Les baleines ont donc utilisé cette faille pour dépouiller le protocole de tous les autres stablecoins en déposant des fUSD et des DEI.
Au total, le protocole a perdu 38 millions de dollars en FRAX, USDT, USDC et MIM. Après l’incident, Scream a remplacé son ancien système par des oracles Chainlink qui mettent à jour les prix en temps réel. Jusqu’à présent, les baleines n’ont pas restitué les fonds à la plateforme.
Où sont passés les milliards de dollars volés ?
Eh bien, ils sont probablement perdus à jamais.
Selon PeckShield, environ 50%, soit 1,16 milliard de dollars des fonds volés dans des hacks crypto, ont été blanchis via Tornado Cash, le mixer crypto qui a été sanctionné le mois dernier par le gouvernement américain. Chose qui suscite jusqu’à aujourd’hui, une large polémique au sein de la crypto sphère.
Concrètement, Tornado Cash permet aux utilisateurs de cacher l’historique de leurs transactions financières, ce qui les rend plus difficiles à retracer. Selon le FBI, le groupe de hackers nord-coréen Lazarus aurait utilisé le mixer pour blanchir plus de 7 milliards de dollars de crypto depuis 2019.
Les protocoles DeFi cités ci-dessus ont fait des centaines de tentatives pour récupérer leur argent, mais en vain. Dans l’espoir de récupérer ne serait-ce qu’une partie de leurs fonds, certains protocoles ont même proposé des sommes colossales à leurs ravisseurs.
Hacks crypto : les victimes font appel à la conscience des hackers
Par exemple, Qubit Finance a proposé 2 millions de dollars aux hackers éthiques qui accepteraient de lui retourner ses fonds. De son côté, Harmony a offert une prime d’un million de dollars pour récupérer les 100 millions de dollars volés au pont Horizon et a même promis de ne jamais porter plainte contre ses attaquants. Mais jusqu’à présent, les hackers continuent de faire la sourde oreille.
En août 2021, cependant, cette même stratégie a fonctionné pour le réseau Poly, qui a réussi à récupérer les 600 millions de dollars qui lui ont été volés lors d’un hack.
De son côté, le Ronin Bridge a pu récupérer 30 millions de dollars plus tôt ce mois-ci, grâce aux efforts de Chainalysis, du Trésor américain et du FBI. Néanmoins, ce montant ne représente que 5 % des 620 millions de dollars volés lors du piratage du pont. Le FBI estime que le groupe Lazarus, l’auteur présumé de l’attaque, a blanchi 455 millions de dollars sur Tornado Cash.
Les pirates du pont Nomad ont également retourné 9 millions de dollars à la plateforme un jour après l’attaque. Après l’annonce d’une prime de 10 % sur les fonds restitués, des hackers éthiques ont restitué 32 millions de dollars supplémentaires à Nomad. Entre-temps, l’auteur du hack a réparti le montant restant sur plusieurs adresses.
Pour sa part, Wormhole n’a jamais récupéré ses 320 millions de dollars. Après avoir corrigé la faille à l’origine de son piratage, le protocole a reçu une compensation de 120 000 ETH de la part de Jump Trading Group, l’un de ses principaux investisseurs.
Comment éviter les hacks crypto ?
De toute évidence, les ponts blockchain semblent être le maillon le plus faible de la DeFi. Il existe cependant des moyens de protection à la fois pour les utilisateurs et les plateformes.
“Lors du développement d’un projet, il est nécessaire de rédiger des termes de référence clairs et d’effectuer autant de tests que possible pour éviter les erreurs logiques”, a confié Alex Belets, fondateur de l’entreprise de sécurité blockchain Smart State, à Be[In]Crypto.
“Utilisez des scanners de vulnérabilité automatiques. N’essayez pas d’implémenter des choses pour lesquelles il existe des bibliothèques. Effectuez des audits et protégez vos clés privées. N’utilisez pas d’applications tierces comme Profanity pour générer des clés privées”, recommande-t-il.
Avis de non-responsabilité
Avis de non-responsabilité : Conformément aux directives de The Trust Project, BeInCrypto s'engage à fournir des informations impartiales et transparentes. Cet article vise à fournir des informations exactes et pertinentes. Toutefois, nous invitons les lecteurs à vérifier les faits de leur propre chef et à consulter un professionnel avant de prendre une décision sur la base de ce contenu.