Des millions envolés – Fréquemment, des protocoles DeFi tombent sous les attaques des hackers. Malheureusement, dans certains cas cela engendre de larges pertes pour les utilisateurs. La dernière attaque en date, PlayDapp a entraîné la perte de 290 millions de dollars.
PlayDapp victime d’un hack à 290 millions de dollars
PlayDapp est un projet qui vise à démocratiser le Web3 dans le monde des jeux vidéo. Pour cela le projet a développé PlayDapp SDK, une suite d’outils pour les développeurs souhaitant intégrer des mécaniques crypto dans leur jeu.
Le 9 février, l’entreprise spécialisée dans l’analyse de blockchain PeckShield, a alerté PlayDapp qu’une transaction suspecte avait été détecté.
Ainsi, l’entreprise a détecté la création de 200 millions de jetons PLA, le jeton natif de PlayDapp. Au total, cela représente l’équivalent de 36,5 millions de dollars en PLA.
De son côté, PlayDapp a rapidement adressé l’incident sur X (Twitter), déclarant :
« Nous vous écrivons pour vous informer d’un incident de sécurité critique impliquant le contrat de jetons PLA. Le contrat de jetons PLA a été piraté et des jetons PLA supplémentaires ont été émis. Nous comprenons la gravité de cette situation et nous vous assurons que nous prenons des mesures immédiates. »
Selon PeckShield, il semblerait que la compromission de la clé privée du minter soit à l’origine de cette attaque.
Négociation et second hack
Le 10 février, au lendemain de l’incident, PlayDapp a entrepris des négociations avec le hacker. Ainsi, le protocole a envoyé un message on-chain, proposant à l’attaquant d’obtenir une prime d’un million de dollars en échange de la restitution des fonds. En pratique, le hacker avait jusqu’au 13 février pour restituer les fonds.
Malheureusement, celui-ci ne semble pas très enclin à négocier. En effet, le 12 février, le hacker a créé 1,59 milliard de jetons PLA supplémentaires. Cette fois-ci le montant des jetons créés s’élève à 253 millions de dollars.
Au total, le hacker a ainsi émis 1,79 milliard de jetons PLA pour un montant total de 290 millions de dollars.
À titre de comparaison, avant l’attaque, 577 millions de jetons PLA étaient en circulation. Par conséquent, il est peu probable que le hacker arrive à vendre son stock massif de jetons au prix du marché.
Migration du PLA
Finalement, suite à ces attaques à répétition et l’échec des négociations avec le hacker, les équipes de PlayDapp ont décidé de migrer vers un autre contrat qui n’a pas été compromis.
Ainsi, le 13 février, le smart contract initial du jeton PLA a été mis en pause. Par la suite, PlayDapp souhaite effectuer un snapshot pour pouvoir redistribuer le nouveau jeton aux anciens détenteurs lors d’une migration vers un nouveau contrat.
« Nous demandons l’arrêt des transactions, car nous allons bientôt procéder à une migration sur la base de l’instantané. »
Le snapshot et la migration devraient avoir lieu dans les prochains jours. En attendant, PlayDapp fait tout pour limiter les possibilités de vente du hacker. En parallèle, les plateformes d’échanges centralisées ont également été mises sur le coup pour tenter d’intercepter les fonds s’ils venaient à y transiter.
Une méthode qui peut s’avérer payante. En février dernier, Binance a réussi à geler 4,2 millions de dollars en XRP qui avaient été dérobés au dirigeant de Ripple.
