Des pirates sont parvenus à créer des cryptomonnaies qui n’existaient pas. Grâce à cette astuce, ils se sont attaqués à un protocole de la finance décentralisée. Ils se sont ensuite envolés avec un butin de plusieurs millions de dollars. Explications.
Ce dimanche 2 juillet 2023, Poly Network, un pont de cryptomonnaies, c’est-à-dire une passerelle qui permet de transférer des actifs d’une blockchain à une autre, a été piraté. Le protocole a annoncé la suspension temporaire de ses services sur ses réseaux sociaux.
Au terme de l’opération, le voleur est reparti avec la coquette somme de 5,5 millions de dollars en devises numériques. Un total de 57 tokens différents ont été siphonnés par le biais de dix blockchains, dont le réseau Ethereum.
Pour mémoire, Poly Network a déjà été victime d’un piratage en 2021. Un hacker était en effet parvenu à s’emparer de 600 millions de dollars, réalisant le plus important piratage de l’industrie crypto de l’époque. Peu après, l’attaquant, qui se présentait comme un hacker éthique, a accepté de rendre le butin, assurant n’avoir jamais eu l’intention de le conserver.
Il a retourné l’intégralité du magot aux développeurs de Poly Network. En échange de sa coopération, Poly Network a même offert une prime de 500 000 dollars au pirate et un poste de conseiller en sécurité. Il a préféré décliner la proposition.
Comment les hackers ont créé des cryptos à l’aide d’une faille ?
Lors de la dernière attaque, les assaillants ont exploité une faille de sécurité dans un smart contract, ou contrat intelligent, les programmes automatisés qui permettent aux ponts d’échanger des cryptomonnaies entre les chaînes de blocs. Les pirates ont utilisé une fonction permettant de créer, en ne se basant sur absolument rien, des actifs numériques qui n’existent pas sur les blockchains.
Comme l’explique le fondateur de 3z3 Labs, un incubateur de start-ups décentralisé, Arhat, ils ont pu émettre « des milliards de jetons sur diverses chaînes de blocs qui n’existaient pas auparavant et les transférer vers leurs propres adresses de portefeuille ». Dans le détail, les hackers ont d’abord injecté des paramètres malveillants dans un contrat intelligent pour le berner.
Ensuite, ils ont exploité le contrat pour qu’il émette des tokens sur des chaînes qui ne sont pas censées accueillir ces cryptomonnaies. Ils ont par exemple émis 100 millions de BNB et 10 milliards de dollars de BUSD, deux cryptomonnaies de Binance, sur le réseau Metis. Les hackers ont répété le processus à plusieurs reprises.
Juste après l’attaque, le portefeuille numérique des pirates contenait jusqu’à 42 millions de dollars. Malheureusement pour les criminels, certaines des cryptomonnaies choisies manquaient cruellement de liquidités, ce qui a réduit le butin à 5,5 millions de dollars. En fait, une partie des altcoins émis n’avaient finalement pas la moindre valeur, du moins sur la chaîne choisie, souligne Arhat. C’est le cas des BNB et des BUSD émis sur Métis.
L’absence de liquidités sur le réseau a empêché les criminels de retirer leurs gains. Sur Ethereum et d’autres réseaux, les hackers ont néanmoins pu convertir leurs tokens par le biais de plates-formes décentralisées.
En marge de l’attaque, les équipes de Poly Network ont demandé aux investisseurs de retirer leurs fonds du protocole par mesure de sécurité. Les développeurs sont également entrés en contact avec les autorités et les plates-formes d’échange pour localiser les fonds volés et pousser l’attaquant à rendre l’argent. Pour l’heure, rien n’indique que celui-ci a l’intention de rembourser les sommes volées… Du reste, le Poly Network est toujours hors service.
Le danger des ponts blockchain
Les ponts entre les blockchains font partie des cibles privilégiées des pirates. Ils représentent une grande partie des piratages les plus lucratifs. Citons le hack de Ronin, un réseau parallèle à la blockchain Ethereum, qui s’est soldé par le vol de 624 millions de dollars, le piratage de Wormhole (326 millions), de Nomad (190 millions) ou encore d’Harmony (100 millions de dollars).
D’après les experts de Chainalysis, ces protocoles sont particulièrement vulnérables aux attaques, notamment à cause de leur propension à divulguer l’intégralité de leur code, y compris celui des contrats intelligents, sur la toile par souci de transparence. Les voleurs sont donc libres d’explorer le code à leur guise pour y dénicher une vulnérabilité. De plus, il s’avère qu’une grande partie des protocoles de la finance décentralisée négligent d’auditer correctement leur code par un spécialiste en amont du lancement.
Decrypt