600 millions de $ en cryptomonnaies évaporés – Braquage historique dans la Finance Décentralisée

Réveil en mode gueule de bois décentralisée – Le protocole cross-chain Poly-Network a fait savoir il y a quelques heures qu’il avait fait l’objet d’une attaque d’une envergure inédite. Outre le montant du préjudice – tristement historique et sans précédent pour un protocole DeFi – c’est bien le fait que trois blockchains différentes aient été simultanément impactées par une attaque particulièrement sophistiquée qui retient l’attention.

Un hack d’une ampleur inédite pour la Finance Décentralisée ?

La Finance Décentralisée tient-elle désormais son « Moment Mt Gox » ? Un concept hérité du piratage de la plateforme éponyme en février 2014 qui avait vu le détournement de 750 000 BTC et entraîné le marché tout entier dans un bain de sang, déclenchant en parallèle la formation d’une vague de régulation inédite.

Si l’écosystème avait alors fini par s’en remettre, s’est bien l’industrie toute entière qui avait connu une terrible période de glaciation, sans compter bien évidemment le durable déficit de confiance pour un secteur en mal de reconnaissance et de crédibilité.

7 ans plus tard, la situation est-elle si différente ? Si le marché crypto – globalement en pleine euphorie ces 10 derniers jours – semble avoir superbement ignoré l’événement, ce sont en tout cas bien 610 millions de dollars qui ont été siphonnés il y a quelques heures de Poly-Network, un protocole cross-blockchain, comprenez par là une passerelle permettant la circulation de liquidités d’un réseau à l’autre. Une passerelle bien pratique, mais constituant un véritable point de fragilité, on le constate.

Dans le détails, ce sont ainsi 273 millions de dollars sur Ethereum, 85 millions de dollars en USD Coin (USDC) sur le réseau Polygon et 253 millions de dollars sur la Binance Smart Chain qui ont été escamotés par un (ou plusieurs) hackers. A noter que des renBTC, wrapped Bitcoin (WBTC) et des wrapped Ether (WETH) ont également été concernés par le hack qui a été décrit comme ayant exploité « une vulnérabilité entre les appels de contrat ».

Un événement piteusement rapporté par le protocole lui-même dans le cadre d’un message directement adressé au hacker :

Le message de Polynetwork aux hackers de 610 millions de dollars de son protocole

« Cher pirate (sic),
Nous sommes l’équipe de Poly Network. Nous voulons établir une communication avec vous et vous demander de rendre les actifs piratés. Le montant des fonds que vous avez piraté en fait le hack plus élevé de l’histoire de la DeFi. Les forces de l’ordre de tous les pays considéreront cela comme un crime économique majeur et vous serez poursuivi. Il est très imprudent pour vous d’effectuer d’autres transactions. L’argent que vous avez volé provient de dizaines de milliers de membres de la communauté crypto, autrement dit du peuple.
Vous devriez nous parler pour trouver une solution. »

Appel au dialogue, invocation des possibles scrupules de l’assaillant, menace des « forces de l’ordre »… un discours assez décalé qui, au moment de la rédaction, tend plutôt à provoquer colère, voire moquerie de la part de la communauté crypto, dans un contexte ou la qualité de la « décentralisation » est supposés permettre l’économie d’un tiers de confiance, et surtout de la moindre autorité externe. Un vœu pieux, comme on le voit une fois encore.

Un véritable sujet de fonds qui ne pouvait d’ailleurs que difficilement plus mal tomber, alors même que le Sénat américain débat encadrement et régulation du secteur crypto et que la supposée « maturité » dudit secteur est brandie par les défenseurs d’une cadre plus souple et adapté à ses innovations.

Poly Network a-t-il échappé à un piratage à 1 milliard ?

Cette industrie ne fonctionnant décidément comme aucune autre, le supposé pirate a répondu à sa manière à la bouteille à la mer de Poly-Network, en encodant un message dans une transaction démontrant qu’il avait bien la maîtrise des fonds compromis :

Image

« ÇA AURAIT ÉTÉ UN HACK A UN MILLIARD SI J’AVAIS DÉPLACÉ LES SHITCOINS RESTANTS ! EST-CE QUE JE VIENS DE SAUVER LE PROJET ? JE NE SUIS PAS TELLEMENT INTÉRESSÉ PAR L’ARGENT, J’ENVISAGE MAINTENANT DE RENDRE QUELQUES JETONS OU DE LES LAISSER ICI »

Si les plus optimistes verront quelques raisons de rester confiant , l’individu – venant de détourner plus d’un demi-milliard de dollars donc – se présentant malgré tout comme « pas intéressé par l’argent », les autres se diront surtout qu’à la perte sèche de leurs avoirs il faudra désormais ajouter l’ironie des auteurs du larcin.

Sur la trace des 600 millions égarés

Vous ne l’apprenez surement pas aujourd’hui, sauf utilisation de services de mixages spécialisés et/ou d’actifs réputés pour leur intracabilité, la nature même de la blockchain rend particulièrement complexe la fuite ou la dissimulation d’actifs crypto, tout particulièrement sur des réseaux semi-décentralisés comme la Binance Smart Chain par exemple.

Par ailleurs, des crypto-actifs comme le stablecoin USDT sont dans les faits sous le contrôle de leur émetteur, en l’occurrence Tether. Il s’avère justement que le directeur technique de Tether, Paolo Ardoino, a rapidement annoncé que son organisation avait gelé environ 33 millions de dollars en USDT à partir de l’une des adresses compromises. Le PDG d’OKEx, Jay Hao, mais également Binance, par la voix de son CEO ont également fait part de la collaboration des principaux exchanges.

« Nous sommes conscients de l’exploit qui s’est produit aujourd’hui. Bien que personne ne contrôle la BSC (ou ETH), nous nous coordonnons avec tous nos partenaires de sécurité pour apporter une aide proactive. Il n’y a aucune garantie. Nous ferons tout ce que nous pourrons. »

Au-delà de ses messages bravaches, le pirate semble cependant déjà rencontrer certaines difficultés à faire circuler ou récupérer une partie des fonds piratés. Outre les avoirs qui sont progressivement gelés on l’a vu, il y a fort à parier que les adresses utilisées par l’intéressé vont être rapidement black-listées de toute part. Des difficultés logistiques réelles donc, même si on notera que, selon les spécialistes chinois en sécurité informatique de chez Slowmist, l’attaque n’avait rien d’improvisée :

« Remis en perspective avec le flux de fonds et les informations sur les multiples empreintes numériques, on peut estimer qu’il s’agit probablement d’une attaque planifiée, organisée et préparée depuis longtemps »

Même si les sommes en jeu sont importantes, leur montant ne suffira pas à lui seul à compromettre structurellement le marché. En revanche, difficile d’imaginer que les régulateurs de tout poils ne se précipiteront pas sur l’occasion pour tenter d’enlever le jouet de la Finance Décentralisée de mains jugées trop enfantines au regard des enjeux économiques. A ce titre, le sacro-saint argument de la « protection des épargnants » pourrait se trouver encore un peu renforcé. Et ce, même si vous savons tous que l’immense majorité des utilisateurs victimes de l’accident industriel Poly Network savaient foncièrement ce qu’ils risquaient.

Hellmouth Banner

Ex-rédacteur en chef du Journal du Coin j'apporte ma petite pierre à l'édifice financier global qui émerge sous nos yeux. Les insultes, scoops, propositions de sujets, demandes en mariage et autres corbeilles de fruits sont à livrer sur mes différents comptes sociaux. Vous pouvez également venir discuter sur le groupe FB associé à l'initiative Tahiti Cryptomonnaies