Début 2023, l’image de « monnaie de singe » que le grand public se fait parfois des crypto-monnaies ne va pas disparaître. Pour un cousin sceptique discutant de ses finances lors de dîners de famille, la cryptographie est le coin d’Internet où vous pouvez laisser vos billets en toute sécurité aux escrocs, aux tireurs de tapis et aux pirates.Une chose reste la même sur le marché. C’est du vol de crypto-monnaies.
Sommaire
Géant aux pieds d’argile, Mt.Gox (2014)
- Dégâts : 850 000 BTC
- Type d’attaque : faille de la sécurité et mauvaise gestion
- Attaquant : inconnu
Au plus fort du premier véritable marché haussier de la crypto-monnaie, l’échange dirigé par Mark Karpeles, alias le baron de Bitcoin, représentait 70% du volume des transactions BTC. Malheureusement, la société a découvert en septembre 2011 que la clé privée du portefeuille avait été compromise. Étant donné que Mt Gox réutilisait régulièrement les adresses Bitcoin, les clés volées étaient constamment utilisées pour voler de nouveaux dépôts, avec plus de 630 000 BTC volés sur les échanges à la mi-2013.
Plus de 200 000 bitcoins ont été trouvés dans des “portefeuilles oubliés”, mais la plupart des fonds volés n’ont jamais été récupérés. Comme nous l’avons signalé hier, les liquidateurs se préparent aujourd’hui à restituer les crypto-monnaies aux investisseurs concernés. L’incident a eu un impact durable sur la communauté bitcoin à l’époque, et c’est à cette époque que les premières réflexions sont venues sur les preuves de la réserve d’arbres de Markle, c’est-à-dire avant que la faillite de FTX ne remette le concept à la mode.
Coincheck piratage record au pays du Levant (2018)
- Dégâts : 523 millions de NEM (XEM)
- Type d’attaque : vulnérabilité liée à la garde des fonds
- Attaquant : Lazarus APT38
La bourse japonaise Coincheck, connue pour son excellente gestion, a vu 523 millions de NEM volés en 2018 à la moindre erreur. Pas un portefeuille froid, isolé et plus sécurisé.
Les attaquants ont pu accéder aux clés privées d’un seul portefeuille Coincheck et transférer des jetons NEM à leurs adresses. En acquérant le courtier Monex Group en avril 2018, Coincheck a cessé ses activités et a remboursé bon nombre de ses utilisateurs concernés. Le piratage de Coincheck a été le point de départ du cadre réglementaire japonais. En fait, le Japon a été le premier pays à créer un cadre formel pour une plateforme d’échange (ce cadre a eu un impact majeur sur la BitLicense émise par le régulateur de New York, NYDFS).
Bitfinex, premier jeton IOU (2016)
- Dégâts : 120 000 BTC
- Type d’attaque : Vulnérabilité des systèmes de sécurité multisig
- Attaquant : inconnu
Bitfinex existe toujours aujourd’hui et est étroitement associé à la société qui a émis Tether USD (USDT), le plus grand stablecoin du marché. En 2016, alors que la plateforme était encore basée à Hong Kong, elle a subi une attaque massive et a perdu 120 000 BTC. Cette attaque a été rendue possible en exploitant une faille dans le système de portefeuille multisig de la bourse. Les portefeuilles multisig nécessitent plusieurs clés privées pour autoriser les transactions. Cela devrait théoriquement réduire le risque de vol.
Les pirates ont pu contourner ce mécanisme de sécurité en exploitant une vulnérabilité dans la manière dont Bitfinex gère les clés privées en collaboration avec la société de sécurité BitGo. Bitfinex a temporairement suspendu ses opérations et mis en place un plan de remboursement pour les clients. La bourse a émis des jetons BFX représentant une dette envers ses utilisateurs, qui ont été progressivement remboursés jusqu’en avril 2017. Il s’agissait de la première application majeure du jeton IOU (I owe you).
DAO, Origines de la scission Ethereum – Ethereum Classic (2016)
- Préjudice : 3,6 millions d’ETH
- Type d’attaque : exploitation des vulnérabilités du code
- Attaquant : inconnu
DAO est le premier fonds d’investissement décentralisé basé sur Ethereum. A cette époque, c’était un projet historique de créer une organisation décentralisée basée sur la blockchain. En 2016, DAO a levé 150 millions de dollars d’Ether lors d’une vente symbolique. Cependant, peu de temps après la collecte de fonds, les pirates ont pu exploiter une faille dans le code de contrat intelligent du DAO et voler 3,6 millions d’ETH, qui étaient évalués à environ 50 millions de dollars à l’époque.
Le problème était avec la fonction de retrait d’argent. Un pirate pourrait répéter les retraits sans autorisation en effectuant simplement des appels de fonction répétés avant que le solde du compte ne soit mis à jour. Après avoir découvert l’attaque, la communauté Ethereum a décidé d’aller de l’avant avec un hard fork, créant deux chaînes distinctes, Ethereum (ETH) et Ethereum Classic (ETC). Un hard fork a permis de récupérer et de redistribuer les fonds volés. Cependant, la décision était controversée car elle soulevait des questions sur l’immuabilité et la philosophie de décentralisation de la blockchain.
Binance, point de départ du célèbre CZ SAFU (2019)
- Dégâts : 7 000 BTC
- Type d’attaque : hameçonnage et autres techniques
- Attaquant : inconnu
En mai 2019, Binance a été victime d’une attaque hautement sophistiquée qui a entraîné la perte de 7 000 bitcoins, d’une valeur d’environ 40 millions de dollars à l’époque. Les pirates ont utilisé une combinaison de techniques d’ingénierie sociale, de phishing et de piratage pour accéder aux comptes d’utilisateurs et aux clés API afin de siphonner les jetons. Les attaquants ont soigneusement préparé leurs attaques pendant plusieurs mois, ciblant leurs plus gros atouts. L’attaque a ensuite été menée en synchronisant les retraits de plusieurs comptes, ce qui a rendu difficile la réponse des ingénieurs de Binance.
L’incident, bien que de gravité relativement faible, a été la rampe de lancement du célèbre fonds d’assurance de Binance, le Secure Asset Fund for Users (SAFU), qui vaut aujourd’hui plus de 2 milliards de dollars. Le vol souligne également l’importance de rester vigilant contre les tentatives de phishing et l’intérêt accru pour la protection des clés API et des comptes personnels lorsqu’il s’agit d’échanges de crypto-monnaies.
KuCoin, modèle de réponse rapide (2020)
- Pertes : 281 millions de dollars en diverses crypto-monnaies
- Type d’attaque : Exploitation des failles de sécurité
- Attaquant : inconnu
En septembre 2020, ce commutateur basé à Singapour a également été affecté. Les pirates ont exploité une vulnérabilité liée à la clé privée du hot wallet de la bourse. Malgré l’ampleur du vol, KuCoin a réagi rapidement en arrêtant immédiatement les dépôts et les retraits. Avec l’aide de divers projets de blockchain et d’échanges de crypto-monnaies, KuCoin a finalement récupéré près de 85% des fonds volés et les a rendus à leurs clients. L’échange a également renforcé les mesures de sécurité pour prévenir de futurs incidents. L’affaire KuCoin a été le point de départ d’une coopération entre divers acteurs de l’industrie de la crypto-monnaie pour lutter contre les acteurs malveillants et sécuriser les fonds des utilisateurs.
Polynetwork, L’histoire d’un pirate repenti (2021)
- Montant des dommages : 600 millions de dollars dans diverses crypto-monnaies
- Type d’attaque : exploitation des failles dans les contrats intelligents
- Attaquant : inconnu
Depuis août 2021, Poly Network est une réussite inter-chaînes qui permet le transfert d’actifs entre différentes chaînes de blocs. Cependant, le vol épique de 610 millions de dollars dans diverses crypto-monnaies a porté atteinte à la réputation du protocole. Les pirates ont exploité les failles des contrats intelligents du protocole pour leur permettre d’accéder aux fonds et de les transférer à leurs propres adresses. Ce qui rend cette affaire particulièrement intéressante, c’est l’enchaînement des événements après le vol. Après avoir été identifiés et contactés par Poly Network, les pirates ont finalement accepté de restituer tous les fonds volés. Dans un message envoyé à Poly Network, l’attaquant a affirmé que son intention était d’exposer les faiblesses du protocole plutôt qu’un gain personnel…
NiceHash,Plate-forme minière ciblée (2017)
- Dégâts : 4 700 BTC
- Type d’attaque : vulnérabilité inconnue
- Attaquant : inconnu
En décembre 2017, NiceHash, une plate-forme minière de crypto-monnaie basée en Slovénie, a été volée pour une valeur d’environ 64 millions de dollars. Les pirates ont réussi à compromettre les comptes des employés de NiceHash. Ils ont utilisé cet emplacement pour rediriger les paiements des mineurs vers des adresses Bitcoin contrôlées par eux.
La société a rapidement conçu un plan de remise pour les utilisateurs concernés et a utilisé une partie de ses revenus pour compenser les pertes des mineurs. En décembre 2020, NiceHash a annoncé qu’il avait achevé de restituer 100% des fonds volés à ses utilisateurs.
Bancor, un protocole DeFi vulnérable (2018)
- Pertes : 23,5 millions de dollars en diverses crypto-monnaies
- Type d’attaque : exploitation des lacunes du portefeuille
- Attaquant : inconnu
En juillet 2018, Bancor, un échange décentralisé (DEX) basé sur la blockchain Ethereum, était sans le savoir vulnérable en raison de multiples bogues. Deux hackers parviennent alors à accéder aux clés privées des portefeuilles “intelligents” utilisés par l’équipe. Après cela, plusieurs transferts seront lancés, notamment Ether (ETH), Bancor Tokens (BNT) et Pundi X Tokens (NPXS).
L’équipe a également travaillé avec d’autres bourses pour identifier et geler les fonds volés. Cet incident est le premier à démontrer les risques associés à DEX et à sa gestion des clés privées. Il réitère l’importance des sociétés d’analyse telles que BlockSec, PeckShield, Chainanalysis et SolidProof.
Ronin, le play-to-earn touché mais pas coulé (2022)
- Dégâts : 342 000 ETH
- Type d’attaque : transfert d’argent frauduleux
- Attaquant : Lazarus APT38 (par FBI et The Block)
Certainement le hack le plus compliqué de l’histoire de la blockchain. Il est signé par le groupe de hackers nord-coréen Lazarus et parrainé par l’État séparatiste lui-même. L’équipe technique d’Axie Infinity a remarqué le piratage le 29 mars après que les utilisateurs ont signalé qu’ils n’étaient pas en mesure de retirer 5 000 ETH de la chaîne latérale Ronin du jeu.
Les pirates informatiques ont utilisé de fausses offres d’emploi sur LinkedIn pour tromper les employés de Sky Mavis, la société vietnamienne à l’origine du jeu Axie Infinity. Après avoir mené plusieurs faux entretiens d’embauche, les pirates ont envoyé à un ingénieur senior un PDF contenant une offre d’emploi très généreuse. Une fois que l’ingénieur a cliqué sur le PDF, les pirates ont compromis son ordinateur et pris le contrôle de quatre des neuf nœuds utilisés pour valider les transactions sur la blockchain Ronin de Sky Mavis. La signature de l’Axie DAO permet aux pirates de contrôler les nœuds qu’ils souhaitent et de siphonner 173 600 ETH et 25,5 millions d’USDC. Le jeu a survécu grâce à des injections de capital salvatrices, dont un investissement de 150 millions de dollars de Binance en avril 2022.