Le piratage de Poly Network expose les failles DeFi, mais la communauté vient à la rescousse

par ·


  • FrançaisFrançais


    • Bien qu’il semblait que les piratages cryptographiques étaient en déclin, tout récemment, le marché a été témoin de l’une des attaques les plus importantes de la jeune histoire de la finance décentralisée (DeFi), dans laquelle un pirate informatique inconnu a pu exploiter une faille dans la chaîne croisée. protocole Le cadre numérique de Poly Network, repartant ainsi avec 610 millions de dollars provenant de trois chaînes de blocs distinctes.

    Le Poly Network est un projet collaboratif mené par Ontology, Neo et Switcheo. Il cherche à favoriser une «alliance de protocoles d’interopérabilité hétérogène» intégrant les chaînes de blocs dans le plus grand écosystème inter-chaînes. Grâce à son infrastructure, le protocole permet aux utilisateurs d’échanger des jetons entre différentes blockchains de manière transparente.

    En élaborant davantage sur le développement, l’équipe de développeurs de base de Poly Network a révélé que l’attaque abouti dans environ 273 millions de dollars d’Ethereum, 85 millions de dollars en USD Coin (USDC) du réseau Polygon et 253 millions de dollars de Binance Smart Chain étant compromis. En outre, des quantités importantes de renBTC, de Bitcoin enveloppé (wBTC) et d’Ether enveloppé (wETH) ont également été perdues dans le cadre de l’exploit.

    En ce qui concerne la façon dont le piratage s’est produit, Anton Bukov, co-fondateur de l’agrégateur DeFi 1inch Network, a déclaré à Cointelegraph que l’un des sous-systèmes de Poly Network – conçu pour être capable de transmettre les interactions de contrat intelligent des utilisateurs entre différentes blockchains – s’est avéré être défectueux, ajoutant :

    « Le pirate a ponté les fausses interactions de transaction sur une chaîne pour faire contracter le système sur une autre, transférant les droits de propriété du coffre-fort des actifs à la clé publique du pirate. Les développeurs et les auditeurs de Poly Network n’ont pas remarqué la vulnérabilité, permettant plusieurs appels d’utilisateurs arbitraires via un contrat intelligent doté de nombreux privilèges.

    Mettre un chapeau blanc

    Fournissant ses réflexions sur la question, John Jefferies, analyste financier en chef de CipherTrace, a déclaré à Cointelegraph que cet incident était particulièrement intéressant par rapport à tous les hacks DeFi du passé, qui utilisaient généralement une forme de prêts flash et d’arbitrage pour exploiter un contrat intelligent et voler des fonds, en ajoutant :

    « Le pirate a essentiellement trouvé un exploit qui lui a permis de contourner les clés privées et de faire en sorte que le contrat lui envoie simplement les fonds. Dans tous les échanges que le pirate a effectués dans le but d’obscurcir sa trace, il semble que le pirate ait à un moment donné réutilisé un portefeuille qui avait déjà effectué des transactions antérieures avec des échanges importants qui auraient identifié des informations KYC sur lui.

    De plus, Jefferies n’est pas entièrement convaincu des intentions du pirate informatique, même si tous les fonds volés sont maintenant de retour à leur place. “Il est peu probable qu’un chapeau blanc ait pris des mesures pour tenter d’obscurcir la piste des fonds s’il avait toujours eu l’intention de rendre l’argent”, a-t-il déclaré.

    Dans une tournure des événements étrange mais intéressante, peu de temps après la brèche, le pirate informatique de Poly Network a mené une auto-interview de style Ask Me Anything, en utilisant embarqué messages dans les transactions Ethereum. Lorsqu’on lui a demandé pourquoi le réseau Poly, en particulier, avait été choisi comme cible, le pirate a répondu “le piratage inter-chaînes est chaud”, ajoutant qu’ils ont passé beaucoup de temps à essayer d’identifier les vulnérabilités sur le réseau à exploiter.

    Non seulement cela, le pirate informatique a affirmé que le plan n’était jamais de conserver les 610 millions de dollars, mais plutôt d’exposer la vulnérabilité aux masses avant que les développeurs de Poly Network ne puissent secrètement corriger le bogue. « Je voudrais leur donner [Poly Network] des conseils pour sécuriser leurs réseaux, afin qu’ils puissent être éligibles pour gérer un milliard [dollar] projet à l’avenir. Il a ajouté :

    “Lorsque j’ai repéré le bug, j’ai eu des sentiments mitigés. Demandez-vous ce que vous feriez si vous étiez confronté à une telle fortune. Demander poliment à l’équipe de projet pour qu’elle puisse y remédier ? N’importe qui pourrait être le traître à un milliard. Je ne peux faire confiance à personne ! La seule solution que je peux trouver est de l’enregistrer dans un compte de confiance.

    Les fonds sont de retour

    Poly Network a publié jeudi une déclaration annonçant que les 610 millions de dollars des fonds avaient été transféré à un portefeuille multisig qui est sous sa responsabilité avec le pirate informatique. Les seuls jetons restants comprennent 33 millions de dollars de Tether (USDT), qui ont été gelés immédiatement après l’annonce de l’attaque.

    Le pirate de Poly Network a commencé par restituer une partie importante des fonds volés au protocole DeFi inter-chaînes. En effet, un peu plus d’un jour après l’événement, CipherTrace a confirmé qu’au moins 265 millions de dollars avaient été retournés à Poly Network sous la forme d’un million de dollars en USDC ; 256,2 millions de dollars principalement via Bitcoin BEP-2 (BTCB), Binance pegged-Ether et Binance USD (BUSD) ; 2,637 millions de dollars en Binance Coin (BNB) ; et 3,4 millions de dollars à Shiba Inu (SHIB), renBTC et Fei.

    Dès le début, l’attaquant a affirmé être prêt à restituer l’intégralité des fonds volés – une promesse qui a été tenue jeudi dernier – affirmant que l’intention était de donner à Poly une leçon coûteuse sur ses failles de sécurité.

    Cependant, Tom Robinson, scientifique en chef de la société d’analyse de blockchain Elliptic, est d’avis que le changement d’avis pourrait être dû au fait que le pirate informatique a trouvé extrêmement difficile de blanchir / encaisser les actifs volés en raison de la transparence du blockchain.

    Sebastian Bürgel, fondateur du protocole de confidentialité des données basé sur Ethereum HOPR, a déclaré à Cointelegraph que même si les vols ne sont jamais une bonne chose, il pense qu’il est impressionnant que la communauté DeFi ait pu se réunir – de Tether gelant 33 millions de dollars d’USDT à OKEx et Binance donne un coup de main dans la surveillance des fonds siphonnés – pour empêcher le pirate informatique de retirer ou d’échanger l’un des actifs impliqués, ajoutant :

    « J’espère que cela encouragera une plus grande concentration sur la sécurité et l’audit. L’enthousiasme pour DeFi est contagieux, mais il est important de se rappeler qu’il y a une énorme valeur en jeu. Le désir de bouger rapidement ne peut pas l’emporter sur la sécurité.

    « Non, merci », dit « M. Chapeau blanc”

    Après avoir déterminé que les motivations du pirate informatique étaient complètement propres, un porte-parole de Poly Network a déclaré que l’entreprise était prête à offrir l’individu – que la société a surnommé “M. White Hat”, – une prime de 500 000 $ via un message qui disait: “Nous vous enverrons la prime de 500 000 lorsque les fonds restants seront retournés, à l’exception de l’USDT gelé.”

    Étonnamment, le pirate a poliment refusé, déclarant qu’il n’a jamais répondu à l’offre. “Je vais renvoyer tout leur argent”, a-t-il déclaré en signant.

    Connexe : Comment les protocoles DeFi sont-ils piratés ?

    Avec tous les fonds remis en place – à l’exception de l’USDT gelé susmentionné – il semble que le plus grand piratage de l’histoire de la finance décentralisée ait enfin pris fin. Et bien que l’identité du pirate informatique reste un mystère, la société chinoise de cybersécurité SlowMist a récemment publié une mise à jour affirmant que son équipe de sécurité avait pu identifier l’adresse e-mail, l’adresse IP et l’empreinte digitale de l’appareil de l’attaquant.

    Espérons que cet épisode servira de rappel sévère de la façon dont la sécurité devrait toujours être d’une importance suprême lors de la fondation de tout projet, quelle que soit sa proposition technologique. Par conséquent, il sera intéressant de voir comment les startups et autres entreprises opérant au sein de DeFi continuent d’évoluer et de mettre à niveau leurs configurations de sécurité existantes, car la prochaine fois, le pirate informatique pourrait ne pas vouloir rembourser l’argent.