Cryptopia hack : 16 millions de dollars piratés selon Elementus
Il y a moins d’une semaine, Cryptopia – la plateforme d’exchange néo-zélandaise spécialisée dans les altcoins – subissait un hack. Les estimations allaient de 3 à 11 millions de dollars de pertes, mais la situation restait très floue. Une équipe de chercheur a récemment publié une étude afin d’éclaircir ce qu’il se passe, et le constat est finalement plus élevé : ce seraient plus de 16 millions de dollars en crypto qui ont été subtilisés.
Depuis le hack de Cryptopia le 15 janvier, très peu d’informations ont filtré de Cryptopia. L’exchange a annoncé qu’il leur était impossible de commenter l’affaire, puisqu’une investigation policière était en cours. C’était sans compter sur Elementus – un groupe travaillant en faveur de la transparence dans l’industrie blockchain – qui s’est penché sur la question, et a récemment publié un compte-rendu retraçant le déroulement du hack.
L’ensemble de cette analyse est trouvable sur leur blog. L’équipe a également mis à disposition les données brutes qu’ils ont utilisé pour leur étude, afin qu’on ne les accuse pas de FUD inutilement.
Chronologie du hack de Cryptopia
Avant de nous lancer dans le vif du sujet, penchons-nous sur la chronologie de cette attaque.
Tout a commencé dimanche 13 janvier, avec des mouvements sortants de deux des hots wallets de Cryptopia. L’un comportait de l’Ethereum (ETH), l’autre divers altcoins.
Quelques heures plus tard, une fois les deux wallets vidés, ce sont les 76 000 wallets secondaires de Cryptopia qui étaient pris pour cible, et ce pendant plusieurs jours.
Lundi, le lendemain, Cryptopia suspendait le trading, en annonçant une « mise à jour imprévue ».
Update: We are still experiencing unscheduled maintenance. The next update will be at 8am NZDT (7pm UTC)
— Cryptopia Exchange (@Cryptopia_NZ) January 14, 2019
Le Mardi, Cryptopia déclarait que la plateforme était sous le coup d’une faille de sécurité qui avait été exploitée, c’est là que la police néo-zélandaise a pris la situation en main.
Finalement, le hack s’est poursuivi, les fonds ont continué d’être drainés, et ce jusqu’au jeudi 17.
16 millions $ de pertes
Comme vous pouvez le constater sur cette infographie, les plus grosses pertes ont touché Lisk, Dentacoin, Centrality & Ethereum. Les sommes sont évaluées en fonction des cours du 19 janvier 2019.
Encore une fois, Elementus a joué la carte de la transparence, et propose une liste complète des transactions vers le wallet du hacker ainsi qu’une estimation des pertes au cas par cas.
Où sont passés les fonds ?
Assez rapidement, nous avions été mis au fait de mouvements de fonds en direction de Binance. Changpeng Zhao, CEO de Binance, était d’ailleurs intervenu sur Twitter, déclarant que les fonds en question avaient été gelés.
Just checked, we were able to freeze some of the funds. I don't understand why the hackers keep sending to Binance. Social media will be pretty fast to report it, and we will freeze it. It's a high risk maneuver for them. https://t.co/i0PeahLzic
— CZ 🔶 BNB (@cz_binance) January 16, 2019
Selon Elementus, les hackers ont déplacé les fonds en petite quantité vers divers exchange, avec en priorité Bibox & Binance.
Pour l’instant, la majorité des fonds demeure dans deux wallets (plus de 10 millions de dollars) associés aux hackers.
Comment ce hack a-t-il été possible ?
Comme le relève Elementus, ce hack diffère de ce à quoi nous sommes habitués.
En premier lieu, les hackers s’en sont pris à plus de 76 000 wallets, aucun d’entre eux n’était un smart contract, ce qui signifie que ce n’est pas une faille à ce niveau qui aura permis l’attaque (à l’inverse du hacks de TheDAO par exemple).
Ensuite, l’attaque s’est poursuivie pendant plusieurs jours après que Cryptopia s’en soit rendu compte. Plus troublant encore, les hackers ne se sont pas précipités pour retirer les fonds, mais l’on fait sur presque 5 jours.
Pour Elementus, une seule explication possible. Si Cryptopia a laissé les wallets se vider sous ses yeux, pendant 4 jours, c’est qu’ils avaient perdu jusqu’à l’accès à leurs wallets.
En effet, en cas de faille dans un smart contract, il peut être complexe – voire impossible – pour le détenteur originel des fonds de les retrouver. En revanche, dans le cas d’un hack de wallet, suspendre les échanges ou au moins sécuriser les fonds devrait se révéler plutôt simple, ce qui n’a pas été le cas.
“Une explication possible est que Cryptopia avait ses clés privées stockées dans un seul serveur sans redondance. Si les voleurs ont réussi à accéder à ce serveur, ils ont pu télécharger les clés privées avant de les effacer du serveur, ce qui aurait empêché Cryptopia d’accéder à leurs propres wallets” Extrait de l’article d’Elementus
Elementus précise que près de 2 000 wallets ETH et 46 000 $ en ETH qui sont encore exposés.
[coin-widget id= »ethereum »]
On conclut cet article en saluant l’effort de l’équipe d’Elementus, dont le but avéré est de « rendre lisible par l’homme les données blockchains ». Si le hack est regrettable, il est tout de même très encourageant de voir que la technologie blockchain porte facilement ses fruits dans de telles situations. Sans le travail de cette équipe, seules les informations « officielles » (et quasiment inexistantes) tiendrait les utilisateurs informés, c’est donc une belle preuve de l’utilité des blockchains publiques.