600 millions dérobés à Poly Network, puis restitués par le hacker – Une première dans la DeFi !

De dark Hacker à White Hat – Cette semaine, l’écosystème DeFi a été témoin du plus gros hack enregistré à ce jour. Un attaquant a en effet réussi à drainer 600 millions de dollars dans les pools du protocole Poly-Network. Heureusement, suite à d’improbables rebondissements, la situation pourrait connaître un dénouement heureux avec un hacker pris de remords.

Hack de Poly Network : le hacker accepte de collaborer

Le mercredi 11 août à l’aube, le protocole crosschain Poly-Network a alerté ses utilisateurs qu’il avait été la cible d’une attaque. Son butin de 600 millions de dollars constituant la somme la plus importante jamais dérobée dans l’histoire de la DeFi. 

En pratique, ce montant faramineux a été extrait à partir de plusieurs blockchains : 

  • 273 millions de dollars sur Ethereum
  • 85 millions de dollars en USDC sur Polygon ;
  • 253 millions de dollars sur la Binance Smart Chain (BSC)

Même MtGox à l’époque n’avait pas souffert d’une telle attaque. En plus d’être le vol le plus important de la DeFi, il s’agit même d’un des vols les plus importants à l’échelle de tout l’écosystème crypto, toutes catégories confondues. 

Suite à cette attaque, les équipes du protocole ont tenté de prendre contact avec l’attaquant, soulignant que celui-ci allait être poursuivi par de nombreuses polices à travers le monde s’il ne restituait pas les fonds. Quelques heures après, le malfrat a donné signe de vie en expliquant être « prêt à rendre les fonds ». Une nouvelle qui aura ravi les développeurs de Poly-Network et les utilisateurs lésés. 

Pour ce faire, les équipes de Poly-Network ont alors créé 3 adresses afin que l’attaquant puisse restituer les fonds. 

Chose promise, chose due

Au lendemain des évènements, l’attaquant semble avoir mis ses promesses à exécution. En effet, plusieurs transactions ont été enregistrées à destination des adresses créées par PolyNetwork. 

Dans un premier temps, l’intégralité des 85 millions de dollars dérobés sur Polygon ont été restitués le 11 août, dans la soirée.

Transaction de restitution des fonds de 85 millions de dollars dérobés sur Polygon
Transaction de restitution des fonds sur Polygon – Source : Polygonscan

En parallèle, l’attaquant a restitué l’intégralité des 253 millions de dollars dérobés sur la Binance Smart Chain, à travers plusieurs transactions.

Transaction de restitution des fonds de 253 millions de dollars dérobés sur la Binance Smart Chain
Transactions de restitution des fonds sur la BSC – Source : bscscan

Pour finir, l’attaquant a restitué les 273 millions initialement dérobés sur Ethereum, dans les heures qui ont suivi la restitution sur les autres blockchains.

Ainsi, l’ensemble des fonds, excepté les USDT gelés par Tether, ont été restitué. Tout est bien qui fini bien.

Un évènement sans précédent

Ce hack est véritablement une première dans l’histoire des cryptomonnaies, aussi bien dans le montant dérobé que dans la gestion des événements ayant suivis l’attaque. En effet, si les hacks DeFi ne cessent de se multiplier, il n’était cependant jusqu’ici jamais arrivé qu’un attaquant restitue les fonds, plus particulièrement dans le contexte d’un si gros butin. 

Une chance pour Poly-Network et l’ensemble de l’écosystème DeFi, pour qui la perte sèche de 600 millions de dollars aurait pu se révéler catastrophique.

Récemment, par exemple, 20 millions de dollars ont été dérobés au protocole Popsicle Finance. Malheureusement pour eux, l’attaquant n’a pas charitablement restitué les fonds. Une autre preuve qu’il faut bien auditer les protocoles DeFi, fréquemment victimes d’attaques (même si c’était le cas pour le projet Poly Network).

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.