Hack Kyberswap : les négociations tournent au vinaigre
Du mouvement sur KyberSwap. Dans la nuit du 22/23 novembre, le protocole d’échange décentralisé KyberSwap a été victime d’un hack. Au total, le hacker a réussi à dérober pas moins de 47 millions de dollars dans les pools du protocole. Désormais, les équipes tentent de négocier une restitution des fonds.
Le hacker prêt à négocier
Le 23 novembre au petit matin, nous avons appris le hack dévastateur de KyberSwap. En pratique, le hacker a tiré parti d’une faille dans les pools Elastic de la plateforme. Cela lui a permis de manipuler artificiellement le prix de certaines pools et de provoquer un double comptage des liquides déposés. Par conséquent, le hacker a pu retirer bien plus de liquidités qu’il n’en avait déposé.
Juste après son attaque, le 22 novembre un peu avant minuit, le hacker a envoyé un message on-chain sur l’adresse du deployer de KyberSwap. Dans ce premier message, le hacker se déclare prêt à négocier, après quelques heures de repos.
« Chers développeurs, employés, membres de la DAO et LPs de Kyberswap. Les négociations commenceront dans quelques heures, lorsque je serai complètement reposé. Je vous remercie de votre attention. »
A envoyé le hacker sur Ethereum.
Il aura cependant fallu attendre le 24 novembre pour voir une réponse on-chain de la part de KyberSwap. Dans ce message, les équipes annoncent que le hacker peut conserver 10% des fonds comme bug bounty en échange de la restitution de 90% du montant dérobé.
« Vous avez réalisé l’un des piratages les plus sophistiqués, monsieur. C’était de la haute voltige et tout le monde l’a ratée. Sur la table, il y a une prime équivalente à 10% des fonds des utilisateurs qui leur ont été volés par votre piratage, pour le retour en toute sécurité de tous les fonds des utilisateurs. »
Dans ce premier message, KyberSwap laissait au hacker jusqu’au 25 novembre pour restituer les fonds.
Les échanges s’enveniment
Face à l’absence de réponse de sa part, KyberSwap a envoyé un second message le 25 novembre, déclarant avoir pris contact avec les forces de l’ordre et proposant une nouvelle fois un accord au hacker.
« Si vous ne renvoyez pas 90 % des fonds que vous avez pris aux utilisateurs d’ici le 27 novembre à 10 h UTC, nous lancerons également un programme de primes publiques pour inciter toute personne qui fournit des informations supplémentaires à aider les forces de l’ordre et les services de cybersécurité à vous arrêter et à récupérer les fonds des utilisateurs. »
Message auquel le hacker a répondu le 28 novembre. Dans sa réponse, ce dernier regrette les messages reçus de la part de KyberSwap, déclarant que leur attitude lui avait retiré l’envie de négocier.
« J’ai dit que j’étais prêt à négocier. En retour, j’ai reçu (principalement) des menaces, des échéances et une attitude généralement peu amicale de la part de l’équipe dirigeante. Ce n’est pas grave, cela ne me dérange pas. J’ai préparé une déclaration concernant notre traité (potentiel). Je prévois de la publier le 30 novembre à midi UTC, pile. »
Ainsi, les équipes de KyberSwap semblent ne pas avoir d’autre choix que d’attendre la date du 30 novembre.
« Dans l’hypothèse où je serais traité avec encore plus d’hostilité, nous pourrions reporter la rencontre à une date ultérieure, lorsque nous nous sentirons tous plus civilisés. Vous n’avez qu’à le dire. Dans le cas contraire, nous procéderons comme prévu le 30 novembre. »
Reste maintenant à attendre quelques jours pour savoir si KyberSwap arrivera a trouver un accord avec son hacker. De leur côté, les utilisateurs attendent avec impatience le dénouement, avec l’espoir de récupérer les fonds dérobés.
Cela n’est pas sans rappeler le cas d’Euler Finance. Le protocole avait trouvé un accord avec son hacker, après une attaque survenue en début d’année.