Les 5 meilleurs hacks de crypto-monnaie et DeFi de tous les temps

Dans le monde passionnant mais risqué des crypto-monnaies, la quête de la liberté financière n’a pas été sans son lot de défis. À mesure que les monnaies numériques continuent de gagner en importance (et que leurs prix augmentent), elles sont également devenues une cible privilégiée pour les acteurs malveillants cherchant à exploiter leurs vulnérabilités à des fins financières. Dans cette exploration, nous plongerons dans les pires piratages cryptographiques de tous les temps, du Mont Gox aux années plus récentes (jusqu'en 2023).

En outre, nous nous aventurerons également dans le domaine des crypto-monnaies basées sur DAG et examinerons les cas où ces réseaux innovants basés sur des graphes acycliques dirigés ont été confrontés à leur propre ensemble unique de défis de sécurité. Préparez-vous pour un voyage à travers les hauts et les bas du monde de la cryptographie, où l’innovation rencontre la vulnérabilité et où les enjeux sont plus élevés que jamais.

Mont Gox

À proprement parler, en théorie, il y a eu des attaques qui ont coûté plus cher depuis celle-ci en 2014. Mais cette année-là, l’ensemble du monde de la cryptographie n’était, fondamentalement, que Bitcoin (BTC) ; et Mt. Gox était le premier échange Bitcoin au monde. La plateforme traitait plus de 70 % du total des transactions dans le monde dans un contexte de prix très volatils. Puis, après de nombreux problèmes et hacks cachés, de graves problèmes de solvabilité ont été révélés en février 2014.

Tous les retraits ont été interrompus le 7 février avec de faibles excuses. Le 23 février, le PDG, Mark Karpelès, a démissionné du conseil d'administration de la Fondation Bitcoin et a supprimé tous les tweets de Mt. Gox. Le lendemain, le site Web a été mis hors ligne et documents divulgués a indiqué la perte de 744.408 BTC (environ 473 millions de dollars à l'époque). Cela représenterait plus de 19,1 milliards de dollars aux prix actuels [CMC].

Comme le montrent les documents divulgués, les pirates informatiques siphonnaient Bitcoin du mont. Gox pendant plusieurs années, à l'insu de l'entreprise. Selon Les recherches de WizSec D'une manière ou d'une autre, les pirates ont réussi à voler la clé privée du portefeuille chaud (en ligne) Bitcoin de Mt. Gox, ce qui leur a permis de gérer les fonds d'échange à leur guise. Il faut dire que leur sécurité n'était pas la meilleure, puisque ce n'est pas le Bitcoin en tant que registre qui a été piraté, mais seulement l'échange.

En raison de la taille encore petite de la communauté cryptographique au cours de ces années, le coup a été dévastateur. Bitcoin a perdu plus de 43 % depuis février et jusqu’en décembre. La situation ne montrera aucun signe d'amélioration avant fin 2015. Les victimes du piratage de Mt. Gox, de leur côté, ont dû attendre des années avant d'avoir un espoir de remboursement. Après une énorme bataille juridique, l'administrateur de Mt. Gox s'apprête à enfin rembourser les créanciers de la bourse d'ici fin octobre 2023.

Chèque de pièces

En janvier 2018, Coincheck, un important échange japonais de crypto-monnaie, a été victime de l'un des plus grands piratages de crypto-monnaie de l'histoire. Les pirates ont exploité les vulnérabilités des systèmes de sécurité de la bourse, accédant au portefeuille chaud de Coincheck (en ligne). Ils ont volé environ 523 millions de jetons NEM (XEM), évalués à l'époque à près de 530 millions de dollars.

Comme le rapporte quelques sources , la violation a été exécutée en envoyant des e-mails infectés par des logiciels malveillants aux employés de Coincheck, permettant aux attaquants de prendre le contrôle des systèmes internes. Une fois à l’intérieur, ils ont rapidement transféré les jetons XEM volés à diverses adresses, ce qui rend difficile la traçabilité des fonds.

Par la suite, Coincheck a fait l'objet d'un examen minutieux de la part des régulateurs, ce qui a conduit à des mesures de sécurité améliorées et à un effort de remboursement massif . L'échange juré pour indemniser les utilisateurs concernés en restituant leurs jetons XEM volés au taux de 88,549 JPY par pièce, nettement inférieur à la valeur marchande de l'époque. Ils l'ont fait avec leurs propres fonds.

Malgré la efforts de remboursement , ce piratage a eu un impact significatif à la fois sur Coincheck et sur la communauté plus large des crypto-monnaies. Cela a rappelé brutalement les risques de sécurité associés aux échanges centralisés de crypto-monnaie et l’importance de protocoles de sécurité robustes. La gestion de l'incident par Coincheck a soulevé des questions sur la sécurité des fonds confiés aux bourses et a incité les autorités de régulation du monde entier à renforcer leur surveillance des plateformes de crypto-monnaie pour protéger les investisseurs et prévenir de futures violations.

Centre de jetons BSC

La marque Binance n’a pas non plus été épargnée par des problèmes. Le 7 octobre 2022, le pont inter-chaînes natif de la BNB Smart Chain entre la BNB Beacon Chain et la BNB Smart Chain a été victime d'un piratage. L'exploit a entraîné la suspension temporaire de la Binance Smart Chain pour contenir les dégâts. L’attaquant a frappé illégalement 2 millions de jetons BNB, d’une valeur d’environ 566 millions de dollars à l’époque. La majeure partie a été rapidement gelée par l'équipe, mais le pirate informatique a réussi à transférer environ 137 millions de dollars vers d'autres chaînes.

La violation a commencé lorsque l'attaquant a reçu 100 BNB d'un portefeuille ChangeNOW le 5 octobre 2022. Cela lui a permis de s'inscrire en tant que relais pour BSC Token Hub, qui facilite les transactions inter-chaînes entre BNB Beacon Chain (BEP2) et Binance Smart Chain (BEP20). . L'attaquant a exploité une vulnérabilité dans la façon dont BSC Token Hub a vérifié les preuves, en falsifiant des messages arbitraires et en lançant la création et le retrait de 2 millions de BNB en deux transactions.

Plutôt que de transférer immédiatement les fonds volés vers les bourses, l'attaquant a utilisé Venus, un protocole de prêt populaire sur BNB Chain. Ils ont garanti 900 000 BNB pour emprunter des pièces stables comme l'USDT, l'USDC et le BUSD dans le cadre de cinq transactions, d'une valeur de plus de 250 millions de dollars . Ces pièces stables ont ensuite été acheminées vers plusieurs chaînes à l'aide de ponts, et divers produits DeFi ont été utilisés pour éviter d'être détectés.

Après le piratage, BSC a interrompu la chaîne en raison d'une activité irrégulière, empêchant ainsi de nouveaux mouvements de fonds. Les soldes de l'attaquant sur les chaînes ont été étroitement surveillés. BNB Chain a mis en œuvre un hardfork (mise à jour) pour remédier aux vulnérabilités et a introduit un nouveau mécanisme de gouvernance en chaîne pour lutter contre les futures attaques.

Réseau Poly

Le Poly Network, protocole d'interopérabilité facilitant les échanges entre différentes chaînes, a été victime d'un exploit le 10 août 2021. Il a été orchestré par des pirates anonymes, entraînant le transfert de plus de 610 millions de dollars en cryptomonnaies sous leur contrôle. Ils ont volé des jetons ETH, USDC, DAI, UNI, SHIB, FEI, MATIC et plusieurs BSC ; tous issus de membres de la communauté en général. Il s’agit notamment de l’un des incidents de sécurité les plus importants de l’histoire de la finance décentralisée (DeFi).

Les pirates a déplacé les fonds volés vers des adresses qu'ils contrôlaient sur Ethereum, Binance Smart Chain et Polygon. À la suite de l'attaque, l'équipe Poly a appelé les bourses et les mineurs à surveiller le flux des jetons volés et a demandé l'arrêt des transactions du pirate informatique. Tether a gelé 33 millions de dollars d'USDT.

Dans une tournure surprenante des événements, les pirates ont annoncé le 11 août 2021 leur intention de restituer les jetons , affirmant que le vol visait à exposer les vulnérabilités et à améliorer la sécurité de Poly Network. Ils utilisaient des messages intégrés dans les transactions pour communiquer publiquement.

En réponse, l'équipe du protocole a lancé le processus de récupération et a qualifié les pirates de « M. White Hat ». Ils ont offert une prime de bug de 500 000 $ et le rôle de « conseiller en chef en matière de sécurité » pour assurer le retour en toute sécurité des actifs restants. La dernière partie des fonds volés a été restituée le23 août .

L'incident a suscité une certaine controverse sur l'utilisation du terme « chapeau blanc » pour désigner les pirates informatiques, avec des craintes que cela puisse créer un précédent permettant aux pirates informatiques criminels d'assainir leurs actions. Cependant, Poly Network a lancé un programme de bug bounty pour améliorer la sécurité, invitant les agences de sécurité et les organisations chapeau blanc à auditer ses fonctions principales. Des récompenses allant jusqu'à 100 000 $ étaient offertes pour les vulnérabilités critiques.

Ronin (Axie Infinity)

Ceci est considéré comme le plus grand piratage jamais réalisé dans le monde de la cryptographie. Le 23 mars 2022, le réseau Ronin, une sidechain Ethereum du jeu Axie Infinity, a été victime d'une attaque massive. Les pirates ont emporté 173 600 ETH et 25,5 millions USDC, pour un total plus de 625 millions de dollars , surpassant les précédents braquages de crypto-monnaies record.

Le hack a exploité le pont Ronin, un élément crucial pour les transferts d'actifs entre Ronin et d'autres écosystèmes. Les attaquants ont pris le contrôle de quatre clés de validation Ronin hébergées sur Sky Mavis (la société derrière Axie Infinity). Il est courant pour les blockchains que ce petit nombre de clés soit suffisant pour prendre le contrôle du réseau. Pour compléter leur projet, ils ont utilisé une porte dérobée via un nœud RPC sans gaz, obtenant ainsi la signature du validateur Axie DAO. Cela leur a permis de contrôler toutes les clés nécessaires pour effectuer de faux retraits.

Sky Mavis a détecté la violation après qu'un utilisateur a signalé des problèmes de retrait, six jours après l'attaque . Bien qu’une partie importante des fonds volés soit restée entre les mains des pirates informatiques, ils ont tenté de retirer de plus petites sommes via des échanges cryptographiques centralisés. Au moins, Sky Mavis compromis pour rembourser ses utilisateurs.

L'incident a fait chuter le prix du jeton de Ronin de plus de 20 %, exacerbant les inquiétudes au sein de l'espace DeFi, déjà aux prises avec une série d'attaques très médiatisées. Les échanges cryptographiques Binance et Huobi se sont engagés à aider au suivi et à restituer les fonds volés aux utilisateurs d'Axie Infinity, tandis que Sky Mavis coopère avec les agences gouvernementales pour traduire les pirates en justice.

Est-ce que tout cela est possible dans un DAG comme Obyte ?

Les registres à graphes acycliques dirigés (DAG) comme Obyte ont leur propre structure unique et leurs propres mécanismes de consensus, qui peuvent offrir certains avantages en termes de décentralisation par rapport aux systèmes blockchain. Cependant, ils ne sont pas totalement à l’abri des failles de sécurité et des piratages potentiels.

Les vecteurs d'attaque spécifiques et exploits potentiels peuvent différer de ceux des blockchains, mais les systèmes basés sur DAG peuvent toujours être sensibles à divers types d’attaques. Certains problèmes possibles, selon la plate-forme impliquée, incluent :

• Attaques Sybil : les auteurs créent de nombreuses fausses identités ou nœuds pour contrôler un réseau, compromettant ainsi ses mécanismes de confiance, de sécurité et de consensus par le biais d'influences et de manipulations artificielles. Seuls certains DAG conçus naïvement sont vulnérables à ce problème, et ils le résolvent généralement par la centralisation (par exemple IOTA).
  

• Vulnérabilités des contrats intelligents : exploitation des failles de codage pour exécuter des actions non autorisées, siphonner des actifs ou perturber des applications décentralisées, entraînant souvent des pertes financières.
  

• Double dépense : acte frauduleux par lequel un utilisateur duplique une transaction de crypto-monnaie, lui permettant de dépenser plusieurs fois les mêmes actifs numériques, compromettant ainsi l'intégrité du grand livre. Comme dans les blockchains, ce problème ne se produit que si l’utilisateur accepte un paiement sans attendre sa finalité (ou sans attendre suffisamment longtemps s’il n’y a pas de finalité déterministe).
  

• Centralisation potentielle : certains DAG courent le risque d'un contrôle ou d'une influence excessive de la part de quelques entités d'un réseau (comme des entreprises, des mineurs ou des validateurs), ce qui érode sa décentralisation et compromet potentiellement sa sécurité, son immuabilité et sa fiabilité. Ce n'est cependant pas le cas des fournisseurs de commandes dans Obyte.
  

• Défaillances des bourses externes : les vulnérabilités des bourses externes de crypto-monnaie peuvent entraîner des failles de sécurité, des incidents de piratage ou l'insolvabilité de la bourse, entraînant des pertes financières substantielles et des interruptions des activités de négociation.

  
  

Tous les DAG ne sont pas sensibles à tous ces problèmes et disposent de leurs propres méthodes pour les éviter. Ainsi, même si les DAG offrent leurs propres avantages, ils ne sont pas à l’abri des problèmes de sécurité. La nature spécifique des attaques potentielles peut différer, mais les principes fondamentaux de la sécurisation d’un registre décentralisé s’appliquent toujours. Il est essentiel d'évaluer et de corriger en permanence les vulnérabilités de sécurité dans tout système blockchain ou basé sur DAG.

C'est pourquoi Obyte a un programme de prime aux bogues sur Immunefi, où n'importe qui peut signaler un bug, s'il l'a trouvé. Nous offrons jusqu'à 50 000 $ par bug critique. Jusqu'à présent, Obyte a payé environ 5 000 USD aux chapeaux blancs via Immunefi – et environ 10 000 USD pour les rapports de bogues avant ce programme. La sécurité est toujours essentielle pour tout type de plateforme de cryptographie !

Image vectorielle en vedette par Freepik