Hacks, hacks everywhere… – Début novembre, les hacks liés à la finance décentralisée (DeFi) avaient causé la perte de plus de 10,5 milliards de dollars. Un montant qui continue de grimper à l’approche de la fin de l’année, avec chaque semaine de nouveaux piratages. Cette fois, ce sont des clés privées baladeuses qui font la une.
Compromission de Vulcan Forged : 140 millions de dollars dérobés
Vulcan Forged est un écosystème de jeux décentralisés, disposant de plusieurs applications. Initialement, le projet était à l’origine de 6 jeux vidéos basés sur la blockchain. En parallèle, le protocole a créé une plateforme d’achat et de vente de NFT ainsi qu’un exchange décentralisé.
Afin de faciliter l’adoption de son projet, le protocole Vulcan Forged utilise le service proposé par Venly. Celui-ci permet de créer les wallets pour les utilisateurs. Lors de la création d’un compte Vulcan, le protocole va créer des wallets sur Ethereum (ETH), Polygon (MATIC) et VeChain (VET).
Le lundi 13 décembre, les équipes de Vulcan Forged ont averti leurs utilisateurs que 148 wallets avaient été potentiellement compromis.
Au final, il semblerait que « seuls » 96 wallets ont été exploités par l’attaquant.
Une fois en possession des clés privées de ces wallets, l’attaquant a été en mesure de dérober l’équivalent de 140 millions de dollars. Celui-ci s’est surtout emparé de jetons PYR, ainsi que de quelques jetons ETH et MATIC.
Qui blâmer pour l’attaque ?
Comme nous l’avons vu, Vulcan Forged repose sur le service proposé par Venly pour la création des wallets pour ses utilisateurs. Cependant, la possibilité d’une faille du côté de Venly a rapidement été écartée.
Selon les dires de Jamie Thomson, CEO de Vulcan Forged, l’attaquant aurait eu accès aux identifiants de Vulcan sur le service de Venly, lui ayant permis d’extraire les clés privées :
« Le service Venly, pour autant que nous le sachions, va bien et n’a pas été exploité. Ce qui s’est passé, c’est que quelqu’un a exploité notre service. Il a obtenu nos informations d’identification Venly et les a utilisées pour extraire les clés privées des utilisateurs de Vulcan Forged. »
Suite à quoi Vulcan Forged a annoncé sa volonté de migrer vers des wallets décentralisés, une fonctionnalité qui devrait être déployée dans les 2 prochains jours. Par ailleurs, ses équipes ont directement annoncé un remboursement intégral des fonds pour les utilisateurs lésés. Pour ce faire, les équipes ont puisé dans la trésorerie du protocole.
Contrairement à bien des projets s’étant retrouvés dans ce cas de figure, Vulcan Forged a fait preuve d’une grande rapidité et de transparence dans le traitement de l’attaque. Ainsi, plus de la moitié des utilisateurs lésés ont été remboursés moins de 24 h après l’attaque.
Pour finir, la plateforme a annoncé la mise en place d’une procédure de rachat (buy back) et de destruction (burn) des jetons PYR, une fois l’affaire réglée.
La semaine dernière, le protocole BadgerDAO a aussi été victime d’une attaque. Dans son cas, l’attaquant a réussi à dérober l’équivalent de 120 millions de dollars en cryptomonnaies.
