Vol de cryptomonnaies sur Poly Network : « Les blockchains sont sécurisées... mais pas forcément les smart contracts »

Comment des pirates informatiques ont-ils pu mettre la main sur environ 600 millions de dollars d'actifs numériques échangés sur la technologie - réputée infaillible - de la blockchain ? La société basée en Suisse en a fait les frais, de quoi jeter le doute sur le secteur annoncé comme exponentiel de la finance décentralisée ? Sur Twitter, elle en appelle à la communauté pour retrouver les fonds interceptés par les hackers. Mais pour un expert français des cryptomonnaies, « il y a quand même une forme de faute de gestion du compte.»
Jeanne Dussueil

7 mn

C'est grave de réussir à obtenir la clé privée. En général, à chaque étape, il y a des interactions de validation ou de confirmation, commente Guillaume Thuillet, CEO de Nokenchain.
"C'est grave de réussir à obtenir la clé privée. En général, à chaque étape, il y a des interactions de validation ou de confirmation", commente Guillaume Thuillet, CEO de Nokenchain. (Crédits : DR)

[Article mis à jour le jeudi 12 août à 17h30]

Le cambriolage n'égale pas le montant record de l'affaire Africrypt, évaluée à près de 4 milliards de dollars, mais il entre en tout cas dans les fraudes d'anthologies attribuées aux cryptomonnaies. Poly Network, une société spécialisée dans les transferts de ces actifs numériques a rapporté mardi un vol record, évalué à 600 millions de dollars par des experts. Sur Twitter, l'entreprise basée en Suisse fait appel à la communauté des propriétaires de cryptomonnaies et même aux "white hat" (les pirates bienfaiteurs), pour traquer le vol sur les grands registres de compte en ligne sur lesquels reposent ces blockchains. Un recours qui a porté ses fruits ; moins de 24 heures plus tard, la majorité des fonds ont été rendus par le pirate.

Dans les faits, le fraudeur a exploité une vulnérabilité du système d'échanges d'informations, une brèche dans la technologie de Poly Network qui s'est spécialisée dans l'interopérabilité des blockchains. Dans le cas présent, trois "chaînes de blocs" échangeant les informations des jetons cryptés (ou tokens) sont concernées : celle d'Ethereum, de BSC (BinanceChain) et de Polygon. Au final, les pirates ont capté les informations nécessaires pour récupérer la clé privée du propriétaire du ou des portefeuilles de cryptomonnaies, avant de détourner les fonds.

Poly Network évoque "des dizaines de milliers de membres de la communauté" touchés par la fraude. Mais face à cet argument, également avancé sur Twitter, certains demandent des preuves.

« C'est le nombre d'utilisateurs de Poly Network. Mais derrière, apparemment, Poly Network n'a qu'un seul wallet (portefeuille) pour tout traiter. Il y a quand même une forme de faute de gestion du compte. C'est une erreur de le société de mettre 600 millions de tokens de trois blockchain différentes sur un seul compte. En France, si vous faites cela, comme c'est interdit, l'AMF peut le sanctionner lourdement », réagit pour La Tribune Guillaume Thuillet, CEO de Nokenchain et youtubeur sur les cryptomonnaies.

« On peut se demander comment le hacker a réussi à obtenir la clé interne du compte. Il a peut-être fait un 'exploit' (exploiter une faille dans un système ndlr). C'est probablement un problème de qualité de leur smart contracts (ces mini programmes qui passent un ordre, une action ou une information de manière automatique sur la blockchain ndlr). En tout, Poly Network a 'crosschainé' onze blockchains, lit-on sur leur site. C'est très bien technologiquement mais leur niveau de sécurité informatique n'était pas assez élevé à ce stade. C'est grave de réussir à obtenir la clé privée. En général, à chaque étape, il y a des interactions de validation ou de confirmation », commente-t-il encore.

La startup demande l'aide de la communauté pour tracer les fonds

De son côté, pour sauver sa réputation, la société suisse qui a déposé en mai 2020 son white paper (le document de description de la technologie blockchain) en appelle même aux pirates : "Cher hacker (...) nous voulons entrer en communication avec vous et vous exhorter à rendre les actifs que vous avez piratés". Elle écrit dans une lettre publiée sur Twitter : "les autorités de n'importe quel pays vont considérer vos méfaits comme un crime économique majeur et vous serez poursuivis. (...) Vous devriez nous parler pour trouver une solution", insiste Poly Network dans sa lettre.

La Fintech peut-elle compter sur l'aide de la communauté crypto ? « C'est une stratégie classique. Souvent les communautés - très actives - sont sollicitées pour que les adresses soient identifiées afin de bloquer la circulation des fonds. Comme tout est tracé sur la blockchain, il suffit de publier les adresses de ces comptes grâce aux gens qui passent leur vie dessus en indiquant 'scam'. C'est comme une liste rouge de mauvaises adresses de la blockchain. C'est très efficace. Le seul problème est que le pirate laisse souvent son portefeuille inactif pour ne pas montrer de mouvements. Mais il y a des gens pour surveiller ces transactions », explique Guillaume Thuillet.

Sur Twitter, l'entreprise a ainsi publié les adresses utilisées par les hackers, et appelé les détenteurs de portefeuilles de cryptomonnaies à les "blacklister".

La méthode a d'ailleurs été éprouvée lors de la retentissante affaire du piratage de l'opérateur américain Colonial Pipeline qui s'était vu réclamer une rançon contre le redémarrage de ses systèmes informatiques. Mais sur les 4,4 millions de dollars de rançon versés aux hackers, les autorités américaines ont indiqué avoir pu en récupérer plus de la moitié (2,3 millions) simplement en traçant les mouvements sur la blockchain de ces fonds payés en cryptomonnaies.

Lire aussi 4 mnLes hackers de Colonial Pipeline ont vu s'envoler plus de la moitié de la rançon grâce à la blockchain

La blockchain inviolable ?

Tandis que la jeune société Poly Network, comme de nombreuses nouvelles startups, opère une technologie censée faire la gloire de la finance décentralisée, se pose la question de sa réelle inviolabilité, revendiquée par les pratiquants des cryptomonnaies sur ces formes d'échanges des blockchains.

Tout comme le bitcoin, la star des cryptomonnaies, la promesse, avec la blockchain, est de s'affranchir de tout intermédiaire, telles les banques, et de tout contrôle d'un pouvoir central, de manière infaillible.

« Oui, les blockchains sont sécurisées mais pas forcément les smart contracts opérant dessus, et qui sont développés par ces nouvelles plateformes d'échange », oppose Guillaume Thuillet. Et de croire lui aussi aux promesses de cet Internet décentralisé qui sont les mêmes que celles de l'Internet première génération créé par Tim Berners-Lee trente ans plus tôt : « les smart contracts sont publiés en ligne, il est possible de les faire vérifier en open source. Et en général, quand on trouve un 'exploit' (une faille à exploiter), on le signale à la communauté. »

Sollicitée par l'AFP, Poly Network n'a pas immédiatement répondu.

Fin avril, les vols de cryptomonnaies, piratages et fraudes avaient atteint 432 millions de dollars en tout, selon CipherTrace. « Ce chiffre peut sembler petit comparé aux années passées, mais si on regarde plus en détail, on observe une tendance alarmante: les piratages dans la finance décentralisée représentent désormais plus de 60% du volume total des piratages et vols », constate le cabinet spécialisé.

Selon un autre rapport de la société Chainalysis de février, les transactions en cryptomonnaies à des fins illégales ont atteint 10 milliards de dollars en 2020, soit seulement 1% du total de l'activité des cryptomonnaies l'année dernière et moitié moins que l'année précédente.

Jeanne Dussueil

7 mn

Sujets les + lus

|

Sujets les + commentés

Commentaires 6
à écrit le 12/08/2021 à 9:58
Signaler
Restons simples : on achète des bitcoins parce qu'on pense qu'on trouvera plus tard un cornichon pour les racheter plus cher. Il n'y a pas de système inviolable : un jour ou l'autre, quelqu'un cassera le code, et toute cette poudre de perlimpinpim s...

à écrit le 11/08/2021 à 17:54
Signaler
Société peut être basée en Suisse mais son dirigeant "John" Wang est 100 % chinois... bienvenue dans le monde des crypto-mafias!

à écrit le 11/08/2021 à 17:15
Signaler
Encore des gogos qui se font plumer. a croire qu'il y en a qui aime ça.

à écrit le 11/08/2021 à 16:43
Signaler
Non de quoi jeter le doute sur les autorités suisses d'abord et avant tout tandis que nous sommes au sein de leur spécialité, la finance.

à écrit le 11/08/2021 à 12:38
Signaler
Ah encore une fois, quand vous avez un business qui dépend exclusivement des technologies, blinder les process est obligatoire. Un wallet... qui à penser à cela ? encore un gars qui a fait des économies de bout de chandelle la où il ne fallait pas. B...

à écrit le 11/08/2021 à 12:23
Signaler
Quel charabia novlinguistique !!

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.