Ce millionnaire en cryptomonnaies se fait plumer – Comment il a perdu 8 millions de $ en un clic
Même les CEO se font hacker – Le CEO du protocole d’assurance décentralisé Nexus Mutual a été délesté de 8 millions de dollars en jetons NXM. Cette attaque d’un nouveau genre n’a cependant pas affecté le protocole Nexus Mutual à proprement parler.
8 millions de dollars envolés
Nexus Mutual a annoncé la nouvelle via son compte Twitter le 14 décembre. L’attaquant a réussi à prendre le contrôle du wallet du CEO de Nexus Mutual, Hugh Karp, et ainsi lui dérober l’équivalent de 8 millions de dollars en jetons NXM.
Heureusement pour Nexus Mutual, cette attaque n’a pas visé le protocole, mais bien le wallet personnel de son CEO.
« Seule l’adresse de Hugh a été affectée dans cette attaque ciblée et il n’y a aucun risque ultérieur pour Nexus Mutual ou ses membres. »
Tweet de Nexus Mutual
Déroulement de l’attaque
Dans les faits, l’attaquant a réussi à contrôler à distance l’ordinateur de Hugh Karp. Celui-ci a par la suite modifié l’extension de son wallet MetaMask.
Cela lui a permis de « tromper Hugh Karp pour qu’il signe une autre transaction qui transfère ses fonds à l’adresse de l’attaquant », relate Nexus Mutual sur Twitter.
Une attaque pour le moins surprenante, que Karp qualifie lui-même de « très bon tour ». Celui en a profité pour mettre en garde l’attaquant face à la difficulté qu’il rencontrera pour échanger une telle quantité de NXM, lui proposant de restituer les fonds contre une récompense de 300 000 dollars.
Par la suite, l’attaquant a commencé à blanchir les fonds via l’agrégateur de DEX 1inch. La plateforme ne s’est pour le moment pas prononcée au sujet de cette attaque.
KYC ? Mais pour quoi faire ?
Un point reste cependant extrêmement surprenant. En effet, Nexus Mutual a annoncé que l’attaquant avait complété les procédures de KYC, 11 jours avant l’attaque.
Par la suite, le protocole a annoncé être en train de mener une enquête dans le but d’identifier l’attaquant et son mode opératoire.
Pour autant, il semblerait que le KYC ne suffise pas à identifier l’attaquant, celui-ci ayant probablement utilisé une fausse identité.
Jusqu’à présent, l’attaquant n’a pas répondu à la perche tendue par Hugh Karp. Affaire à suivre !