Hack d’Axie Infinity : le roi est mort, vive le roi !
Au royaume des aveugles, les borgnes sont rois – Il est parfois des proverbes si justes qu’ils représentent à eux seuls la situation. Axie Infinity, roi déchu des play to earn, aveugle face à une erreur humaine a été victime d’un hack. 173 600 éthers (ETH) et 25,5 millions USDC, soit plus de 625 millions de dollars actuellement, subtilisés. Le hackeur audacieux a trouvé une brèche, une porte dérobée qu’il a empruntée.
Rappel des faits : Axie Infinity victime d’un crypto casse
Les faits se sont déroulés mardi 29 mars. Axie Infinity, le Grand Monarque des play to earn hacké, siphonné, torpillé ! 173 600 ethers et 25,5 millions d’USDC ont été dérobés. Comment le hackeur a-t-il fait ? Il a réussi à compromettre les clés privées de 5 validateurs en passant par un validateur qui n’existe plus depuis plusieurs mois et dont les autorisations n’avaient pas été révoquées, par erreur. La communauté abasourdie ne perd cependant pas confiance en Sky Mavis, reine mère d’Axie Infinity et Ronin, l’exchange crypto du jeu blockchain NFT.
Très vite après les faits, la sidechain d’Ethereum a pu bénéficier du soutien de géants du Web 3 et des cryptomonnaies tels que le PDG de Binance, Changpeng Zao alias CZ.
Binance : le procureur du Roi
Dans ces soutiens, Binance devient la garde rapprochée du Roi. Protecteur et enquêteur, tel un héros, l’empereur des cryptos déclare le lendemain du hack que les dépôts, les retraits et les conversions sur le réseau Ronin (le Ronin Bridge) sont suspendus.
S’ajoute à cela la décision de bloquer les adresses potentielles des hackeurs et de dédier une équipe de surveillance qui guette toute transaction inhabituelle. Tant que le réseau n’est pas sécurisé, Binance ne rouvrira pas le pont. La restriction sera donc pérenne tant que le réseau n’est pas stable et en bonne santé.
Mais alors, qui est le hackeur de Axie Infinity ?
D’emblée nous pouvons vous confirmer que nous ne saurons pas vous dire aujourd’hui qui est le hackeur de Axie Infinity. Mais la blockchain nous permet d’avoir certains indices sur ses actions après son attaque contre le royaume des play to earn.
En effet, des observateurs ont remarqué qu’après l’attaque, le hackeur a utilisé des exchanges centralisés pour financer l’adresse à l’initiative de l’attaque. Des milliers d’ETH ont ainsi été déposés sur des plateformes telles que Huobi, FTX ou encore Crypto.com.
Pour la suite de notre enquête, l’utilisation par le hackeur d’un exchange centralisé est intéressante. En effet, ces crypto-bourses utilisent un système de KYC, Know Your Costumer. Ces vérifications d’identité font polémiques au sein de la communauté crypto. En effet, elles vont à l’encontre de la philosophie de Satoshi Nakamoto créateur de Bitcoin. Mais dans notre histoire elles apparaissent comme une solution pour pouvoir retrouver le hackeur et, qui sait, peut-être récupérer le butin du pirate.
Un Hackeur, bouffon du Roi ?
Nous savons donc que le hackeur a essayé de blanchir ses fonds et de les disperser en utilisant des exchanges centralisés. Étrange.
En effet, la logique voudrait qu’il ait utilisé un portefeuille décentralisé, c’est à dire sur la DeFi. Connue pour être moins rigoureuse en matière de vérification d’identité, les opérations auraient été plus discrètes.
Le co-fondateur de la socièté Elliptic, un des gendarmes du Web 3 et chevalier des cryptos, Tom Robinson, développe cette idée :
« Il est inhabituel de voir de tels flux directs de fonds provenant de vols vers de grandes bourses (…) Ils ont peut-être acheté des comptes, ou ils pourraient utiliser un intermédiaire pour blanchir en leur nom. »
Elliptic mène l’enquête
La société Elliptic est à la recherche de 540 millions de dollars au cours des premières heures de son enquête sur Ronin et sur la DeFi. Elliptic n’entend pas répondre à toutes les questions que se pose la communauté concernant cette attaque. Toutefois, de leur rapport ressortent certaines certitudes.
Le hackeur a commencé à disperser les fonds avant que Sky Mavis ne se rende compte du hack (le hack s’est en effet déroulé 5 jours avant la date où il a été découvert).
Les différents envois de fonds que s’est fait le hackeur touchent pour le moment trois grands échanges crypto.
Les USDC, stablecoin qui peuvent être gelés par la régulation s’ils sont impliqués dans des activités illicites, ont été changés en Ether sur un exchange décentralisé cette fois-ci. En convertissant les jetons sur les DEX, le pirate a évité le KYC effectué sur les CEX.
Après ce swap, cette conversion, le hacker a commencé à blanchir l’ETH via trois bourses centralisées. Au moment du rapport d’Elliptic, 16 millions de dollars en ETH avaient déjà été blanchis de cette manière. 524 millions sont donc sur d’autres comptes Ethereum qui toujours d’après le rapport, appartiendraient au hackeur.
Axie Infinity : la parole d’un Roi
Le hack d’Axie Infinity est forcément symbolique. Ce genre d’évènement n’est jamais chose agréable. De fait, il nous rappelle à tous que nous sommes vulnérables dans cet écosystème. Les conséquences financières pour Ronin sont terribles. Elles ont d’ores et déjà un lourd impact sur le développement du jeu qui retarde d’une semaine la sortie de la nouvelle version de son jeu NFT : Axie Infinity Origin.
« Alors que le jeu est prêt pour un lancement en douceur, nous avons décidé de donner à l’équipe d’ingénierie et de sécurité une fenêtre de temps supplémentaire pour enquêter en profondeur sur toutes les implications de la violation, avant de demander toute leur attention pour soutenir la sortie d’Origin. »
The Lunacian; journal officiel d’Axie Infinity
Sky Mavis s’est engagé à rembourser les joueurs qui ont perdu des fonds. En effet Aleksander Leonard Larsen, une des têtes pensantes d’Axie Infinity twittait hier encore :
« Notre priorité absolue est d’assurer la sécurité et la confiance dans Ronin. Une fois cela fait, nous ouvrirons Katana DEX et le pont. Nous apprécions votre patience pendant que nous exécutons notre plan de récupération interne qui garantira qu’il n’y a pas de menaces persistantes. »
Aleksander Leonard Larsen, Twitter
La communauté : le vrai Roi d’Axie Infinity
Il ne faut pas non plus oublier un des points forts du Roi : sa communauté solidaire, patiente et construite. Ainsi certaines guildes autonomes ont su montrer leur soutien pour le géant des jeux blockchain. Axie Infinity confirme également ses souhaits de développement d’une crypto-nation libre (Lunacia) et, dans un cri de ralliement, rassemble ses sujets pour le jeudi 7 Avril :
« À notre communauté dévouée Axie Infinity : nous sommes inébranlables dans notre engagement envers notre mission. Merci pour votre soutien et vos conseils continus alors que nous découvrons ensemble comment transformer le monde. Des défis comme ceux-ci sont des opportunités d’apprentissage et ne font que nous rendre plus forts. Nous sommes convaincus que le monde tombera amoureux d’Origin et de l’univers que nous construisons autour d’Axie Infinity. »
Axie Infinity : une partie gagnée ?
Ainsi, après quelques jours, le jeu play to earn semble ressortir plus fort de ce hack. Sky Mavis y voit avec sagesse un apprentissage, une leçon. Le réseau se remet assez rapidement puisque nous apprenions ce midi même que Binance a rétabli les opérations sur Ronin, partiellement certes, mais les éléments rentrent progressivement dans l’ordre.
Ce hack historique d’Axie Infinity continuera de faire couler de l’encre. Reste à savoir si les différentes enquêtes menées seront résolues. La communauté Axie Infinity, combattive
espère que cette situation trouvera une fin heureuse comme pour le hack de BZX avec la récupération de l’argent volé. Même scénario pour Multichain qui s’est vu remboursé par le hackeur au grand cœur. Nous pouvons cependant souligner quelques leçons dans toute cette histoire : protégez-vous et ne mettez pas tous vos œufs dans le même panier, car à la manière de notre roi, vous pourriez bien vous trouver déculotté. Faites vos recherches : ne restez pas aveugle.
Les catastrophes et les hacks, ça n’arrive pas qu’aux autres ! Il vaut mieux ne jamais confier la sécurité de vos cryptomonnaies à un tiers. Pour dormir l’esprit tranquille, équipez-vous d’un wallet hardware sécurisé Ledger, il y en a pour toutes les bourses. Votre sécurité n’a pas de prix (lien commercial).