Trade.io (TIO) : 50 millions de tokens piratés

Trade.io, une entreprise autoproclamée comme « l’institution financière du futur » a été la victime d’un hack ce vendredi. L’un de leurs wallets en cold storage s’est en effet fait siphonner, et ce sont 50 millions de Trade Tokens (TIO) qui auraient été dérobés.

11 millions de dollars de TIO piratés

Important Notice: Please cease trading of TIO on HitBTC & https://t.co/QuZqjRRPDT.

For the latest summary of where things stand, please see: (https://t.co/UH5hq6G0Vw) and follow our Telegram channel (https://t.co/Z6aKhs468B) where we'll be posting updates regularly.

— TIOprime (@TIOprimePool) October 21, 2018

C’est un coup dur pour trade.io ! Le pirate s’en est pris directement à l’un des points essentiels de leur business model : leur liquidity pool. Trade.io propose un service qui s’apparente à un « pot commun ». Cette « liquidity pool » permet d’augmenter la liquidité des paires listées, et, dans le cas de l’entreprise, il est composé en grande partie des fonds de trade.io. Il est aussi possible aux utilisateurs d’y participer afin de profiter de taux d’intérêt avantageux.

Selon les déclarations de la plateforme, le hack aurait été repéré dès vendredi. Une importante transaction sortant de l’un de leurs wallet en cold storage avait été réalisée, et les fonds partaient vers deux exchanges : Bancor & Kucoin.

« Bien que l’enquête soit en cours, en nous basant sur les enregistrements d’Etherscan, nous pouvons confirmer que les 50 millions de TIO stockés en cold storages et alloués à la Liquidity Pool ont été retirés, et 1,3 millions de ces TIO ont été transférés respectivement à Bancor & Kucoin. Les deux exchanges assistent trade.io dans notre enquête. » Jim Preissler, CEO de trade.io

Au moment du hack, ces 50 millions de TIO représentaient environ 11 millions de dollars américains, mais, fatalement, le prix a chuté depuis l’annonce du hack. TIO a en effet vu son prix divisé par 3, pour atteindre les 0,07 $, avant de remonter jusqu’à 0,14 $ ce matin.

Vers un hard fork pour récupérer les TIO ?

Apologies for the inconvenience. We are temporarily closing all trading for TIO because trade io is preparing to fork TIO. Rest assured that your funds are safe. Your kind patience and understanding are highly appreciated. Thank you.

— KuCoin Mod (@KuCoinMod) October 21, 2018

Comme souvent dans ce genre de situation, une seule chose reste à faire : préparer un hard fork. Pour les anciens, c’est une manipulation analogue à celle qui a donné naissance à Ethereum Classic (par exemple) qui va se dérouler. Petit rappel, en juin 2016, TheDAO se faisait hacker, et 3,6 millions d’ETH étaient détournés. Ainsi, une partie de la communauté d’Ethereum avait décidé de procéder à une “annulation” de ce hack, par le biais d’un hard fork.

C’est donc une mesure identique qui va être prise ici, et la chaîne de TIO se prépare au fork. Selon les mots de l’équipe, « rien n’est encore fixé à 100% », mais, pour l’instant, il est envisagé de remplacer les TIO par un token ERC-20, qui pourrait se baptiser TIO2. Tous ceux qui détenaient des TIO sur le bloc précédent celui de l’attaque (donc une minute avant l’attaque) recevront un nombre équivalent de TIO2.

Il est précisé que, afin de bénéficier de cet airdrop, il faudra retirer vos TIO de l’exchange où ils se trouvent, et les déplacer vers un wallet supportant les tokens ERC-20. Après cela, il suffira de prouver que vous détenez ces TIO, en fournissant l’adresse publique de votre wallet. Pour ceux dont les TIO se trouvaient dans la liquidity pool, aucune démarche n’est à faire, ces utilisateurs seront compensés automatiquement.

« Encore une fois, il s’agit d’un plan provisoire, mais nous voulions tenir tout le monde au courant. Ce fork pourrait très bien se produire au cours des prochaines 24 h / 48 h. Comme toujours, nous tiendrons tout le monde informé au fur et à mesure des avancements » l’équipe de trade.io

On ne connaît toujours pas le modus operandi de ce hack, d’autant que s’attaquer à un wallet en cold storage implique une présence physique. En effet, ce wallet était stocké dans un coffre-fort, dans une banque, et n’aurait « pas été compromis ».

Trade.io était parvenu à lever 51 millions de dollars lors de son ICO, et avait lancé sa plateforme d’exchange fin-juillet. C’est donc après tout juste deux mois d’existence que cette avarie majeure se déroule, reste à voir comment l’entreprise réagira à cette situation de crise.

Sources : FinanceMagnates || Images from Shutterstock