Voir plus

Les primes aux bugs, solution possible aux piratages des exchanges crypto ?

7 mins
Mis à jour par Célia Simon
Rejoignez Notre Communauté de Trading sur Telegram

Le mois d’août a été un mois lours en piratages, l’un des plus importants de l’histoire de la cryptomonnaie ayant eu lieu sur le réseau Poly, avec des résultats étranges.

La cyberattaque contre Poly Network a fait la une des journaux avec plusieurs retournements de situation et rebondissements étranges. On pourrait imaginer que piller les bourses de cryptomonnaie est plus facile que voler une banque.

Les vols de cryptomonnaies à enjeux élevés sont apparemment en augmentation. Cependant, il est essentiel de souligner que ces technologies décentralisées sont encore en évolution depuis leur création. Comme avec n’importe quel système, lorsque des vulnérabilités sont découvertes, elles sont corrigées.

La saga Poly Network

Poly Network a sans aucun doute été le plus grand scandale de piratage informatique de ce mois.

Le hacker a découvert une vulnérabilité dans les contrats numériques. C’est ce que Poly Network utilise pour déplacer les actifs cryptos entre différentes chaînes. C’est au sein de ces contrat que le pirate a trouvé son chemin.

Il a ensuite procédé à un casse crypto monumental sur trois chaînes. Ethereum, Binance et le réseau Polygon ont tous été touchés. le hacker a ainsi retiré plus de 600 millions de dollars de la plateforme de finance décentralisée (DeFi).

De plus, l’assaillant a maintenu une présence publique lors de cette attaque. Il a même été jusqu’à participer à une séance de questions-réponses affirmant que l’attaque était « pour le plaisir ».

Cependant, ses motivations réelles pour voler l’argent ne sont pas claires, ses justifications étant plutôt contradictoires et déroutantes à suivre. Dans ses questions-réponses, il allègue avoir pris les tokens “pour les garder en sécurité”.

Le pirate a donc prétendus avoir pris l’argent pour empêcher les insiders du réseau Poly de découvrir la vulnérabilité. Cependant, au lieu de réparer celle-ci, il a décidé de prendre l’argent à la place.

Il semblait ainsi se donner la responsabilité de s’inquiéter de la vulnérabilité du site, avant de se concentrer sur le vol de la plateforme DeFi en essayant de trouver le meilleur moyen de blanchir l’argent sans se faire remarquer.

Cependant, l’attaquant a effectué des transactions retentissantes sous l’œil vigilant de la communauté crypto. Celles-ci ont été observées sur la blockchain publique.

Un coup inhabituel pour un hacker

Ce qui est étrange, c’est qu’il a finalement rendu 550 millions de dollars de l’argent volé. Le pirate a gardé l’autre moitié pendant un certain temps, bien qu’il ait tenté d’expliquer que l’intrusion avait été menée avec de bonnes intentions.

Dans une série de Tweets sur Twitter, Poly Network a déclaré: “Nous appelons les mineurs des échanges blockchain et crypto affectés à mettre sur liste noire les tokens provenant des adresses ci-dessus … Nous engagerons des actions en justice et nous exhortons les pirates à restituer les actifs.”

Tether, qui exploite le stablecoin USDT, a répondu à l’appel pour mettre sur liste noire les adresses utilisées par l’attaquant.

Pendant que cela se produisait, un autre utilisateur de cryptomonnaie du nom de Hanashiro a livré une transaction Ethereum vierge à l’attaquant, avec des conseils pour aider le pirate à manœuvrer dans le paysage changeant, en disant: «N’utilisez pas votre token USDT, vous avez bien entendu été mis sur liste noire.”

L’intrus a répondu à Hanashiro une demi-heure plus tard, envoyant 13,37 ETH d’une valeur d’environ 57 000 $ en signe de gratitude. Hanishiro a ensuite envoyé une partie des fonds à des organisations caritatives.

Les membres de la communauté soutiennent le pirate informatique

La nouvelle de ce paiement s’est répandue et s’est propagée comme une traînée de poudre. Cela a déclenché une « ruée vers l’or » sur le réseau Ethereum.

Des complices potentiels ont commencé à envoyer des messages au compte utilisé par le pirate, leur offrant des conseils sur la façon de blanchir l’argent en échange de contributions caritatives.

Poly Network a déclaré qu’il engagerait des poursuites judiciaires contre l’auteur de l’attaque, affirmant que “les forces de l’ordre de n’importe quel pays considéreront cela comme un crime économique majeur et vous serez poursuivi”.

Alors que la situation s’aggravait en raison des fonds non remboursés, Poly Network a alors offert à l’intrus une prime de 500 000 $ pour découvrir la vulnérabilité.

Le pirate les a refusés. Après tout, il détenait près d’un demi-milliard de dollars d’actifs volés.

Quelque part entre les supplication de Poly Network au hacker pour que celui-ci rendre l’argent la restition ce dernier, le protocole a proposé à l’intrus un emploi en tant que nouveau conseiller en chef de la sécurité, ce qui a également été rejeté.

“Après avoir communiqué avec M. White Hat [le surnom donné au pirate], nous sommes également parvenus à une compréhension plus complète de la façon dont la situation s’est déroulée, ainsi que de son intention initiale”, a rapporté Poly Network dans un communiqué.

La chasse aux piratages

Ce n’est pas la fin de l’histoire, cependant. SlowMist, la société de sécurité de l’écosystème blockchain, a réussi à démêler le fil menant au pirate informatique.

Ils l’ont fait en démasquant sa boîte aux lettres, son adresse IP et l’empreinte digitale de son appareil à l’aide du suivi on-chain et off-chain.

Avec l’aide technique du partenaire de SlowMist, Hoo Tiger Symbol, ainsi que plusieurs échanges participants, l’équipe de sécurité de SlowMist a pu s’assurer que la source initiale de crypto de l’auteur de l’attaque était Monero (XMR).

Le hacker a ensuite transféré les fonds en BNB, ETH et MATIC sur la plateforme d’échange de cryptomonnaies. Suite à cela, il a retiré des fonds à plusieurs adresses, puis a lancé des piratages sur trois échanges.

La vague d’activités sur la blockchain a facilité le suivi du hacker. Cependant, l’équipe a conclu que ce pirate informatique avait minutieusement recherché, planifié et organisé le piratage avant son exécution.

Plus de piratages, des victimes différentes

Le prochain événement qui s’est déroulé dans cette saga est venu de Fetch.ai, un laboratoire d’intelligence artificielle situé à Cambridge, qui a demandé à Binance de travailler pour identifier et suivre les mouvements d’un pirate informatique après que ce hacker ait infiltré leurs comptes de cryptomonnaies le 6 juin.

Le réseau a restreint les comptes de l’auteur de l’attaque, l’empêchant ainsi de retirer des actifs. Par conséquent, l’agresseur aurait apparemment vendu ces fonds à un tiers dans l’heure suivante.

Fetch.ai a demandé à Binance de suspendre les comptes de l’intrus sur la plateforme d’échange. Pour aggraver encore le problème, une Cour suprême a accordé les demandes afin que l’incident puisse faire l’objet d’une enquête approfondie et résolu par des voies légales.

Les rapports indiquent que Binance se conformera aux ordonnances du tribunal. Néanmoins, ils ne pourront pas demander une ordonnance de recouvrement tant qu’ils n’auront pas fourni de preuves démontrant qu’ils ont été victimes dans cette affaire.

« Nous devons dissiper le mythe selon lequel les actifs cryptos sont anonymes. La réalité est qu’avec les bonnes règles et applications, ils peuvent être suivis, tracés et récupérés », a déclaré Syedur Rahman, partenaire chez Rahman Ravelli représentant Fetch.ai.

Une faille dans le protocole japonais Crypto Liquid

Le réseau Poly n’était pas le seul incident de sécurité en août. Des acteurs malveillants ont également attaqué une plateforme d’échange crypto japonais basé à Tokyo, nommée Crypto Liquid. Ils ont canalisé 97 millions de dollars en cryptomonnaies composées de BTC, ETH, TRX et XRP, ciblant des portefeuilles de type “hot wallet”.

Liquid Crypto a répondu en disant qu’il transférait temporairement tous les actifs hors ligne dans des portefeuilles de stockage à froid. De plus, ils ont suspendu tous les services transactionnels.

La plateforme a indiqué qu’elle “suivait actuellement le mouvement des actifs et travaillait avec d’autres bourses pour geler et récupérer les fonds”.

Selon un article de blog, la société a expliqué que le hacker avait ciblé un portefeuille de calcul multipartite (MPC). Les MPC sont utilisés pour stocker et gérer les cryptomonnaies de la filiale de Singapour, QUOINE PTE. Cependant, Liquid Crypto n’a pas publié de déclaration expliquant comment les intrus ont pu s’introduire au sein du système.

«Nous enquêtons actuellement et fournirons des mises à jour régulières. En attendant, les dépôts et les retraits seront suspendus », a déclaré la plateforme dans un tweet.

De plus, les tweets de Liquid Crypto montrent les adresses de cryptomonnaies qui ont été utilisées par les pirates pour exfiltrer les actifs volés.

Les primes de bugs pourraient offrir une solution aux piratages des exchanges crypto

Dans un récent article de blog, Poly Network a annoncé qu’il lancerait un programme de primes de bugs de 500 000 $. Celui-ci accueillera les chercheurs et les hackers pour découvrir et signaler toute vulnérabilité dans son logiciel.

Selon la liste des primes de bugs sur Immunefi, le paiement maximal de la prime est de 100 000 $. Avec des incitations attrayantes provenant de collaborations avec des acteurs positifs dans le domaine de la cybersécurité, cela pourrait être considéré comme une couche supplémentaire de protection des actifs.

Devancer les acteurs malveillants dans la recherche de failles exploitables est sans aucun doute la clé lorsqu’il s’agit de résoudre les problèmes. La question de savoir qui les trouve en premier est une autre affaire.

Un programme de prime de bug est une initiative de crowdsourcing. Il indemnise les personnes qui trouvent et signalent des vulnérabilités logicielles qui peuvent être effectuées via des audits de code et des tests d’intrusion.

Cela permet aux entreprises et aux membres de l’industrie de la cybersécurité de trouver des solutions avant que les acteurs de la menace ne les découvrent pour les utiliser à leur propre avantage.

Les meilleures plateformes de cryptos | Mars 2024

Trusted

Avis de non-responsabilité

Avis de non-responsabilité : Conformément aux directives de The Trust Project, BeInCrypto s'engage à fournir des informations impartiales et transparentes. Cet article vise à fournir des informations exactes et pertinentes. Toutefois, nous invitons les lecteurs à vérifier les faits de leur propre chef et à consulter un professionnel avant de prendre une décision sur la base de ce contenu.

079b012594048bff5c335960b3683605.jpg
Jesse McGraw
Jesse McGraw est rédacteur, chercheur en sécurité informatique et militant de la réforme des prisons. Ancien hacker black hat, il est également le fondateur du groupe d'hacktivistes connu sous le nom d'Electronik Tribulation Army. On le connait également sous le surnom de "Ghost Exodus". Il est de plus détenteur d'actions et de bitcoins, quoiqu'en quantités modestes.
READ FULL BIO
Sponsorisé
Sponsorisé