Le bilan s’alourdit. Le 2 juillet, le protocole de pont cross chain PolyNetwork a été la cible d’une attaque. Le hacker a réussi à créer de nulle part des milliards de dollars en cryptomonnaies. De son côté, PolyNetwork commence à traquer le hacker.
10 millions de dollars envolés
En fin de semaine dernière, le protocole PolyNetwork, permettant de transférer des fonds entre blockchains a été la cible d’un hack. Dans un premier temps estimé à quelques centaines d’ETH, le butin du hacker est bien plus impressionnant.
En effet, celui-ci a profité d’une faille dans un smart contract pour émettre 42 milliards de dollars dans divers jetons. Néanmoins, une majorité de jetons ne disposait pas de liquidités nécessaires pour que le hacker puisse les revendre.
Selon les données compilées par la firme d’analyse Beosin, le hacker a tout de même réussi à échanger son butin contre 5 196 ETH, soit plus de 10 millions de dollars.
Toujours selon Beosin, le hacker aurait eu recours à plusieurs plateformes d’échange centralisées telles que ByBit, KuCoin ou ChangeNow.
En plus de ces fonds, 260 millions de dollars supplémentaires en cryptomonnaies ne peuvent pas être revendus par le hacker faute de liquidité.
Une erreur de clé compromise ?
Jusqu’ici, nous avions envisagé la thèse d’une faille dans un smart contract. Cependant, l’étude des transactions de l’attaque menée par Beosin suggère une autre conclusion. Selon eux, l’attaque pourrait être le résultat d’une compromission ou d’un vol de clé privée.
En effet, l’attaquant a utilisé la fonction verifyHeaderAndExecuteTx sur la chaîne BNB pour initier des opérations de retrait. Cependant, la quantité impliquée ne correspondait pas à la quantité originale bloquée.
Après examination du réseau, aucune trace de cette transaction n’a été trouvée, ce qui suggère que les signatures ont pu être divulguées ou que les gardiens (keepers) ont été modifiés. Les gardiens sont responsables de la signature des retraits des utilisateurs, donc contrôler un gardien permettrait à l’attaquant d’initier des retraits avec des signatures falsifiées.
Toutefois, il a été constaté que les gardiens n’avaient pas été modifiés. Par conséquent, il y a maintenant des raisons de croire que trois gardiens spécifiques pourraient avoir subi une compromission de leurs clés privées ou une attaque contre leur service de multi-signature.
De son côté, l’équipe de PolyNetwork poursuit également des investigations. Ces derniers ont déclaré être en contact avec plusieurs plateformes d’échanges centralisées, ainsi que les forces de l’ordre pour identifier le hacker et suivre les fonds. En parallèle, elles ont invité le hacker à restituer les fonds afin « d’éviter toute conséquence juridique potentielle ».
En août 2021, PolyNetwork avait été la cible du deuxième plus gros hack DeFi à ce jour. Au total, le hacker avait dérobé plus de 600 millions de dollars dans les pools du protocole.
Pour conserver vos cryptos, rien ne vaut un wallet Ledger. Les Nano S et Nano X procurent sécurité et facilité d’utilisation. En effet, ils sont compatibles avec l’immense majorité des cryptos et des réseaux. Ils constituent une alternative absolument essentielle à tous les exchanges qui proposent de conserver vos avoirs à votre place. Rappelez-vous, “Not your keys, not your coins” (lien commercial) !
