Comment des pirates informatiques ont-ils pu mettre la main sur environ 600 millions de dollars d'actifs numériques échangés sur la technologie - réputée infaillible - de la blockchain ? La société basée en Suisse en a fait les frais, de quoi jeter le doute sur le secteur annoncé comme exponentiel de la finance décentralisée ? Sur Twitter, elle en appelle à la communauté pour retrouver les fonds interceptés par les hackers. Mais pour un expert français des cryptomonnaies, « il y a quand même une forme de faute de gestion du compte.»[Article mis à jour le jeudi 12 août à 17h30]
Le cambriolage n'égale pas le montant record de l'affaire Africrypt, évaluée à près de 4 milliards de dollars, mais il entre en tout cas dans les fraudes d'anthologies attribuées aux cryptomonnaies. Poly Network, une société spécialisée dans les transferts de ces actifs numériques a rapporté mardi un vol record, évalué à 600 millions de dollars par des experts. Sur Twitter, l'entreprise basée en Suisse fait appel à la communauté des propriétaires de cryptomonnaies et même aux "white hat" (les pirates bienfaiteurs), pour traquer le vol sur les grands registres de compte en ligne sur lesquels reposent ces blockchains. Un recours qui a porté ses fruits ; moins de 24 heures plus tard, la majorité des fonds ont été rendus par le pirate.
Dans les faits, le fraudeur a exploité une vulnérabilité du système d'échanges d'informations, une brèche dans la technologie de Poly Network qui s'est spécialisée dans l'interopérabilité des blockchains. Dans le cas présent, trois "chaînes de blocs" échangeant les informations des jetons cryptés (ou tokens) sont concernées : celle d'Ethereum, de BSC (BinanceChain) et de Polygon. Au final, les pirates ont capté les informations nécessaires pour récupérer la clé privée du propriétaire du ou des portefeuilles de cryptomonnaies, avant de détourner les fonds.
Poly Network évoque "des dizaines de milliers de membres de la communauté" touchés par la fraude. Mais face à cet argument, également avancé sur Twitter, certains demandent des preuves.
« C'est le nombre d'utilisateurs de Poly Network. Mais derrière, apparemment, Poly Network n'a qu'un seul wallet (portefeuille) pour tout traiter. Il y a quand même une forme de faute de gestion du compte. C'est une erreur de le société de mettre 600 millions de tokens de trois blockchain différentes sur un seul compte. En France, si vous faites cela, comme c'est interdit, l'AMF peut le sanctionner lourdement », réagit pour La Tribune Guillaume Thuillet, CEO de Nokenchain et youtubeur sur les cryptomonnaies.