Parmi les histoires qui valent la peine d’être racontées, les hacks des blockchains ou autres protocoles de crypto monnaies possèdent une place particulière. Toujours craints par les utilisateurs, mais souvent fantasmées par les observateurs, les exploitations de failles représentent des menaces permanentes.
Dans cet article, revenons sur 5 hacks qui auront marqué l’histoire des crypto monnaies. Que ce soit au travers de leur importance fondamentale ou du montant récolté par les hackers, tous ces piratages auront eu une place particulière dans le développement de l’industrie de la blockchain.
Sommaire
- The Wormhole : 325 millions de dollars dérobés sur un bridge populaire
- Poly Network : une fin heureuse après un hack de 611 millions de dollars
- Axie Infinity : une erreur d’inattention débouche sur un hack de 625 millions de dollars
- Bitfinex : Netflix souhaite réaliser un documentaire sur le hack de 120,000 bitcoins
- The DAO : un hack de 3,6 millions d’ETH
The Wormhole : 325 millions de dollars dérobés sur un bridge populaire
Dans le monde des cryptomonnaies et de la blockchain, l’objectif d’interopérabilité représente une priorité pour tous les développeurs du secteur. Dès lors, la création de bridges devient essentielle à la construction d’un écosystème cohérent. Le hack du bridge The Wormhole pour 325 millions de dollars est alors apparu comme un petit séisme au sein de la communauté.
En effet, un bridge est tout simplement un smart contract bloquant les fonds natifs d’un réseau blockchain avant de les transférer sur une autre blockchain sous forme de token. De fait, un bridge permet un flux monétaire important entre les blockchains, mais une vulnérabilité dans son code peut rapidement se transformer en une catastrophe financière.
En ce sens, l’histoire de The Wormhole en est une parfaite illustration puisqu’il s’agit du quatrième plus gros piratage de crypto monnaies de l’histoire, mais également le deuxième plus important jamais connu dans un protocole de DeFi.
L’existence de The Wormhole participe à un seul but : développer l’écosystème de Solana. Dès lors, ce bridge permet de relier Solana à d’autres blockchains dont Ethereum et Avalanche. Rapidement devenu populaire, le protocole est devenu une référence pour les utilisateurs.
Pourtant, le 2 février 2022, un message du compte Twitter officiel du service est venu mettre un coup d’effroi dans la communauté. Dans une simple phrase, les développeurs expliquent qu’une attaque est en cours.
Rapidement, The Wormhole revient vers ses utilisateurs en leur annonçant une terrible nouvelle : les attaquants ont exploité une faille dans le smart contract du bridge. Ainsi, en quelques heures, plus de 120 000 ETH auront été volés par les attaquants pour un total avoisinant les 325 millions de dollars tandis que le reste des ETH présents sur le réseau Solana aurait été converti en 422 000 SOL soit environ 46,6 millions de dollars.
Angoissées à l’idée de ne jamais revoir leur investissement, les victimes ont essayé de contacter le hacker par le biais de la blockchain en lui demandant explicitement de rendre une partie des fonds dérobés. Sans surprise, les développeurs ont également procédé à une tentative de négociation en lui offrant 10 millions de dollars de Bounty.
Aucune réponse n’étant formulé par l’attaquant, le bridge The Wormhole s’est chargé de combler le trou béant laissé par l’exploitation de la faille afin de retrouver rapidement un ratio de 1 : 1 entre les ETH déposés et les ETH tokenisés.
Néanmoins, ce dénouement n’aurait pas pu être possible sans l’intervention de Jump Crypto. En effet, la société est intervenue pour renflouer le bridge de The Wormhole quelques jours après le hack tout en apportant son soutien indéfectible au projet.
Poly Network : une fin heureuse après un hack de 611 millions de dollars
L’été 2021 a été fortement marqué par l’un des plus gros hacks de l’histoire des crypto monnaies : celui de Poly Network pour un montant de 611 millions de dollars. Ce protocole d’interopérabilité entre blockchains spécialisée dans la DeFI aurait certainement préféré se passer de cette mise en lumière.
Pourtant, le 10 août 2021 l’entreprise est dans l’obligation de communiquer à sa communauté le hack de son protocole. Concrètement, 611 millions de dollars ont été dérobés par un hacker grâce à une faille découverte dans le code de Poly Network.
La panique est totale, mais dans une tentative désespérée, les développeurs essayent de contacter publiquement le hacker pour tenter de résoudre la situation à l’amiable. Cette lettre ouverte écrite certainement sans grand espoir va rapidement s’avérer être une aubaine.
En effet, cette prise de contact ne laissera pas insensible l’attaquant de Poly Network. Dès lors, ce dernier commencera à restituer l’ensemble des fonds au protocole. Néanmoins, 33 millions de dollars en USDT gelés par Tether ne pourront pas être rendus immédiatement.
En réponse, Poly Network explique offrir 500 000 dollars de récompenses au hacker pour son geste tout en lui offrant également un poste au sein de son pôle cybersécurité.
Le hacker répondra à ce message en expliquant avoir découvert une faille rapidement sans avoir réellement rencontré des difficultés. Néanmoins, son intention première n’était pas d’amasser de l’argent, mais d’apporter son expérience pour aider le secteur de la DeFi à gagner en maturité.
Alors est-ce réellement un white hat ou seulement une personne ayant pris peur des répercussions juridiques de son acte ? La question reste en suspens, mais ce hack majeur ne fut finalement que de courte durée. Tout est bien qui finit bien pour Poly Network.
Sources : Medium
Axie Infinity : une erreur d’inattention débouche sur un hack de 625 millions de dollars
Axie Infinity s’est imposé comme une référence en matière de play to earn. Sa popularité n’a fait que grimper lors de l’année 2021, mais le revers de la médaille fut particulièrement intense pour la société éditrice Sky Mavis puisqu’un hack de 625 millions de dollars s’est déroulé sur son jeu phare.
En effet, le 29 mars 2022, le géant Axie Infinity annonce avoir été siphonné d’une partie de ses fonds. En réalité, il s’agit du plus gros hack de l’histoire des crypto monnaies avec 173 600 ETH et 25,5 millions d’USDC dérobés par les attaquants.
Concrètement, un ingénieur d’Axie Infinity a postulé pour une fausse offre d’emploi sur LinkedIn mise en ligne par le hacker. Grâce à cette technique traditionnelle de phishing, le pirate a pu récupérer 4 clés de validation sur les cinq requises pour lui permettre de rentrer dans le système du jeu. Néanmoins, 5 clés de validations étaient requises pour pouvoir y pénétrer.
Cette dernière clé de validation a pu être récupérée à cause d’une erreur commise par Sky Mavis. Alors que son jeu connaissait un pic d’utilisateurs, l’éditeur s’est reposé sur un validateur dénommé Axie DAO pour signer plusieurs transactions en son nom. Le problème ? Les autorisations n’ont jamais été révoquées.
Bingo. Les hackers sont désormais dans le système et la faille pleinement exploitée. L’enquête réalisée à la suite de l’attaque a démontré que des pirates nord-coréens membres du groupe Lazarus étaient certainement à l’origine du hack.
Le cofondateur de Sky Mavis, Jeff Zitlin, a reconnu lors d’une conférence à Los Angeles qu’il s’agissait de « l’un des piratages les plus importants de l’histoire ».
En réalité, cette déclaration est un euphémisme puisque le hack de Axie Infinity est littéralement le plus coûteux de l’histoire des crypto monnaies.
Source : Blog
Bitfinex : Netflix souhaite réaliser un documentaire sur le hack de 120,000 bitcoins
En 2016, la plateforme d’échange Bitfinex est un géant du marché des cryptomonnaies. C’est au même moment que cet acteur historique du marché se fait voler soudainement 120,000 bitcoins équivalents à 72 millions de dollars au moment des faits. La résonance de ce hack est énorme puisqu’il provoque une chute du cours du Bitcoin de 20 %.
D’ailleurs, l’histoire de Bitfinex est tellement rocambolesque que Netflix souhaite réaliser un documentaire relatant les évènements.
Ce hack soulève notamment des questions techniques puisqu’à l’époque Bitfinex utilise déjà une technologie multisig pour se protéger des hackeurs. Or, les milliers de transactions soudaines vers le wallet du hackeur se sont réalisées sans le consort de signatures normalement obligatoires. Au total, l’ensemble des transactions illégitimes représentent 30% du fonds total des utilisateurs de la plateforme.
Instantanément, Bitfinex cherche une solution pour gérer l’impact de la compromission de ces bitcoins. L’adresse du hackeur ayant reçu les fonds est blacklistée rapidement par tous les échanges centralisés. Cette décision commune provoquera un gel de l’entièreté des bitcoins volés puisque pendant 5 ans aucun mouvement ne sera effectué à partir de l’adresse.
La compensation des utilisateurs s’est effectuée par une stratégie de remboursement assez simple. Bitfinex a créé un token appelé BFX. Ce coin aura une valeur équivalente à 1 dollar. Ainsi, chaque utilisateur victime se verra créditer d’un montant de BFX correspondant à la somme détenue dans son portefeuille avant le hack.
En 2022, alors que l’histoire semble faire partie du passé, deux personnes sont arrêtées dans le cadre de cette affaire. De plus, les autorités annoncent avoir retrouvé 3,6 milliards de dollars en BTC. Ces bitcoins serviront à racheter les jetons de la plateforme actuelle pour les supprimer afin de rembourser autant que possible les personnes ayant été victimes du hack en 2016. Néanmoins, les deux présumés coupables, Ilya Lichtenstein et Heather Morgan, ne sont pas arrêtés pour le vol des fonds, mais pour blanchiment d’argent.
Source : YouTube
The DAO : un hack de 3,6 millions d’ETH
Retour en 2016, Ethereum s’impose comme la blockchain la plus prometteuse de l’écosystème des cryptomonnaies. La blockchain développée par Vitalik Buterin introduit astucieusement les smart contracts laissant envisager un nouveau paradigme pour la blockchain. Pourtant, le hack de 3 millions d’ETH sur The DAO va entacher la volonté des développeurs d’Ethereum.
Dans ces nouveaux cas d’utilisations, on retrouve les DAO. Ces entités décentralisées souhaitent redonner une vraie liberté de décision à la communauté. Parmi ces initiatives, « The Dao » avait mené une levée de fonds auprès du grand public permettant aux investisseurs de récupérer des jetons de gouvernance pour pouvoir participer aux prochaines décisions de l’entité.
Malheureusement pour cette organisation, le 17 juin à 9 heures du matin heure de Paris, un hackeur utilise une faille dans les smart contracts de la DAO pour accéder aux fonds de la communauté. Concrètement, en quelques heures, c’est plus de 3 millions d’ETH qui sont subtilisés équivalents à l’époque à environ 50 millions de dollars.
Néanmoins, la procédure utilisée pour drainer les fonds empêche le black hat d’accéder aux ETH avant le respect d’un délai de 35 jours. Grâce à ce délai, les membres de la communauté ont eu le temps de prendre une décision sur le futur de The DAO, mais également sur celui de la blockchain Ethereum.
Ainsi, après des débats houleux, dans lesquels deux idéologies fortes se sont opposées, la décision de hard fork la blockchain est prise. La conséquence majeure de cette décision est la division de la blockchain en deux réseaux distincts. C’est ainsi que la célèbre distinction entre ETH et ETC a vu le jour.
En savoir plus sur cette histoire : Ethereum : L’identité du hacker de The DAO