Le meilleur des braqueurs s’offre 3 000 ETH (5,7 millions de $) en un clic – Malice et discrétion, la recette du succès
Et un nouveau hack pour commencer la semaine – La plateforme de jetons sociaux (social tokens) Roll a été la victime d’un hack. Ce sont au total 3 000 ETH qui ont été dérobés, dont une partie déjà blanchie via Tornado Swap.
5,7 millions envolés, Roll sur la paille
L’attaque a eu lieu hier, dimanche 14 mars au matin. Celle-ci a d’abord été identifiée par Crypto.com, qui a alerté la communauté via Twitter que quelque chose d’anormal se tramait du côté du protocole Roll.
Très vite, l’information a été confirmée par plusieurs des équipes en charge des jetons touchés par l’attaque. Ce fut par exemple le cas de WHALE, dont 2,17 % des jetons ont été compromis. Depuis, l’équipe a mis le reste des jetons en sécurité.
Finalement, l’information a été corroborée par les équipes de Roll dans la foulée.
Que s’est-il passé et à qui la faute ?
Comme souvent après ce type d’évènements, Igor Igamberdiev, chercheur pour The Block a publié son enquête sur les causes et le déroulement du hack.
Selon ses recherches, l’attaque aurait été menée par une des adresses détenues par Roll. En fait, l’attaquant aurait réussi à en prendre le contrôle de l’adresse et vider l’ensemble des comptes ayant approuvé la fonction transferFrom(). Le chercheur a expliqué que :
« Ce fait indique une compromission possible de la clé privée ou un inside job. »
En effet, selon l’annonce publiée par Roll, il semblerait effectivement que la clé privée de leur hot wallet principal ait été compromise :
« Nous enquêtons sur cette affaire avec notre fournisseurs d’infrastructures, nos ingénieurs en sécurité et les forces de l’ordre. De plus, nous mettons en place un fonds de 500 000 dollars pour les créateurs affectés par cette situation. »
Finalement, 3 000 ETH ont disparu, soit environ 5,7 millions de dollars, dont 700 ETH déjà transférés via Tornado Swap. Il reste maintenant à déterminer comment la clé privée a pu être compromise, et s’il ne s’agit pas d’un délit d’initié.