Piratage de 190 millions de dollars sur KuCoin

Ça fait très mal à KuCoin – Au cours de la nuit du 25 au 26 septembre, la plateforme d’échange KuCoin a été victime d’un hack. Bilan du larcin : 190 millions de dollars en cryptomonnaies diverses.

190 millions envolés

L’information est tombée dans la nuit du samedi 26 au dimanche 27. Les pertes occasionnées par le hack de KuCoin ont été initialement estimées à 150 millions de dollars. Après vérification, le butin total s’élève à plus de 190 millions.

Ainsi, une partie des bitcoins ERC-20 et d’autres tokens stockés dans les hot wallets de KuCoin ont été transférés hors de l’échange. Évidemment, les fonds stockés dans les cold wallets sont restés intacts.

Le détail du larcin compte une centaine de cryptos différentes. Parmi elles, 33 millions de dollars en ACOIN, 19 millions de dollars en USDT, 10 millions de dollars en Ampleforth, 7,5 millions de dollars en OCEAN, 4 millions de dollars en ETH, … La liste est encore longue.

Dès samedi, le CEO de KuCoin a fait une allocution pour revenir sur l’incident et ses répercussions. Celui-ci en a profité pour rassurer les utilisateurs vis-à-vis de leurs fonds :

« Soyez assurés que si les fonds d’un utilisateur ont été affectés par cet incident, il sera entièrement couvert par KuCoin et notre fonds d’assurance. » – Johnny Lyu, CEO de KuCoin Global

Évidemment, KuCoin enquête activement avec l’aide des services de police internationaux pour retrouver le hacker. La plateforme va même jusqu’à offrir 100 000 dollars à toute personne en mesure de leur communiquer des informations sur l’incident.

Les projets tentent de se protéger

Suite à l’attaque, de nombreux projets touchés ont pris leurs mesures pour limiter au maximum les dégâts. Ainsi, Ocean Protocol a, dans un premier temps, mis en pause son contrat, avant de tout bonnement procéder à un hard fork visant à « renverser les effets néfastes du piratage » :

Ocean Protocol Foundation is initiating a hard fork of the Ocean Token contract which will have the effect of reversing the ill-effects of the hack for anyone choosing to adopt the new version of the contract. Read our full statement here:https://t.co/zw0YtiLKOi

— Ocean Protocol (@oceanprotocol) September 27, 2020

De leur côté, BitFinex et Tether ont décidé de geler les millions d’USDT dérobés par l’attaquant sur les réseaux Ethereum et EOS.

PSA: re #KuCoin hack@bitfinex froze 13M Tether USDt on EOS as part of the hack@Tether_to just froze 20M Tether USDt sitting on this Ethereum address https://t.co/GYmESH44da as precautionary measure.

Stay safe everyone!

— Paolo Ardoino (@paoloardoino) September 26, 2020

La DeFi comme porte de sortie

Une fois les fonds en sa possession, l’attaquant a dû trouver un moyen pour les blanchir. Pour cela, il s’est tourné vers la plateforme d’échanges décentralisée Uniswap.

Ainsi, dimanche aux premières lueurs du jour, le hacker a commencé à convertir une partie de ses ERC-20 contre de l’ether sur l’exchange. Il en a été de même pour des centaines de milliers de jetons Ocean Protocol sur la même plateforme.

Kucoins hacker begins laundering his $150,000,000.

He started swapping his $OCEAN for ETH via Uniswap.

He already dragged the price down by around 4% in less than an hour and doesn't seem to be slowing down.

Due to low liquidity for this token, he is going to crash it hard. pic.twitter.com/gKcsgpUe3a

— Alon Gal (Under the Breach) (@UnderTheBreach) September 27, 2020

Bien entendu, le malfrat ne s’est pas arrêté là et s’est occupé de liquider la plupart des cryptomonnaies acquises. C’est le cas du SNX de Synthetix, qu’il a revendu par milliers :

Kucoin hacker TWAP selling his SNX pic.twitter.com/zd2CcdwL4R

— 𝕯𝖆𝖓𝖌𝖊𝖗 (@safetyth1rd) September 27, 2020

Alors que le criminel s’empresse de vendre le fruit de son larcin, les autorités ainsi que KuCoin continuent la traque. Comme l’a souligné Ledger, cette attaque représente le 4ème plus gros hack de l’histoire des cryptomonnaies. Espérons que les fonds puissent un jour être récupérés !