Il s’agit du plus gros vol dans un projet de finance décentralisée à ce jour.
Le protocole Poly Network a été la cible d’une grave exploitation ce mardi matin (10). Les pirates ont réussi à voler 611 millions de dollars à trois adresses de projet sur le réseau Ethereum , Polygon et Binance Smart Chain.
C’est de loin le plus gros montant jamais volé à un projet de financement décentralisé ( DeFi ). Selon la liste Rekt , la perte de Poly Network était 11 fois supérieure au piratage de 59 millions de dollars subi par EasyFi en avril, considéré comme la plus grande offensive de l’industrie à ce jour.
L’équipe de Poly Network a confirmé l’exploit sur Twitter et a publié l’adresse du pirate informatique sur les trois réseaux. Selon les données de chacun, 273 millions de dollars ont été volés en jetons sur Ethereum , 253 millions de dollars en jetons sur Binance Smart Chain et 85 millions de dollars en USDC sur le réseau Polygon .
L’équipe du protocole a demandé aux courtiers de bloquer toute transaction liée aux adresses liées à l’attaque. La demande a été étendue aux mineurs de crypto-monnaies volées telles que USDT, DAI, UNI, SHIB, FEI, wBTC, wETH, RenBTC.
Blockchain.
Cependant, d’autres réseaux décentralisés ne peuvent pas faire ce genre de gel, comme l’a rappelé CZ , fondateur de Binance : « Bien que personne ne contrôle la Binance Smart Chain (ou ETH), nous nous coordonnons avec tous nos partenaires de sécurité pour aider de manière proactive, mais il n’y a aucune garantie ».
Même si les bourses et les mineurs empêchent les fonds d’être échangés, cela ne signifie pas qu’ils ont le pouvoir de les récupérer. On ne sait toujours pas combien d’utilisateurs ont été blessés par l’attaque.
Réseau Poly
Poly Network est un protocole d’interopérabilité conçu pour faciliter l’échange de jetons entre différentes blockchains. Le projet est né d’une alliance formée entre des équipes de différentes plateformes, telles que Neo, Ontology et Switcheo.
Les développeurs n’ont pas encore publié de détails sur la façon dont l’attaque a eu lieu. L’analyste Igor Igamberdiev de The Block spécule que la cause du piratage était un problème de cryptographie, quelque chose qui sort de l’ordinaire. Il a déclaré que cela ressemblait peut-être à l’attaque de 7,8 millions de dollars subie par le protocole Anyswap lorsqu’un attaquant a inversé la clé privée du contrat intelligent.
Le pool d’échange O3, qui utilise les services de Poly Network, a dû suspendre ses opérations. Comme le profil @bigmagicdao publié sur Twitter , un utilisateur avait publié un avertissement sur Weibo en mai concernant un problème dans le code O3 qui pourrait mettre les fonds des utilisateurs en danger.
Le pirate qui a volé 600 millions de dollars au projet Defi a retourné moins de 1% des fonds
Le montant retourné ne dépasse pas 4,7 millions de dollars, soit moins de 1% de tout ce que l’attaquant a volé
Le pirate informatique responsable de l’orchestration de la plus grande attaque contre un projet de finance décentralisée (DeFi) de l’histoire a commencé mardi à restituer une partie des 611 millions de dollars volés au Poly Network (10). Mais c’est quand même une toute petite partie proche qu’il l’a volé.
Après avoir laissé plusieurs messages intégrés dans des transactions se moquant de toute la situation , l’attaquant a poursuivi sa communication atypique en annonçant qu’il restituerait une partie des sommes volées créant une nouvelle crypto-monnaie appelée « le pirate est prêt à se rendre ».
Il a tenu cette promesse et a jusqu’à présent retourné 1 million de dollars en USDC sur la blockchain Polygon, 2 millions de dollars en Shiba Inu et 600 000 $ en FEI sur le réseau Ethereum, et 1,1 million de dollars supplémentaires en BTCB – jeton adossé à des bitcoins dans le Binance Smart Chaîne.
Le montant retourné n’est que de 4,7 millions de dollars, soit moins de 1% de tout ce qu’il a volé, soit 273 millions de dollars de jetons sur Ethereum, 253 millions de dollars de jetons sur Binance Smart Chain et 85 millions de dollars sur USDC sur Polygon.
L’attaquant devrait continuer avec des retours à l’avenir. Il a dit qu’il avait du mal à contacter l’équipe Poly Network et a demandé un portefeuille multisig sécurisé pour transférer les crypto-monnaies. Ensuite, le projet a publié trois adresses sur Twitter sur Ethereum, Binance Smart Chain et Polygon.
Bon hacker ?
Le pool d’échange O3, qui a dû suspendre ses services qui dépendaient du Poly Network pour fonctionner, a suggéré qu’en étant disposé à restituer les fonds, le pirate informatique pourrait être du type chapeau blanc, comme on appelle les bons pirates.
Dans un autre message , cependant, l’attaquant a prêché la fin des DAO – des organisations décentralisées autonomes qui n’ont pas besoin d’intermédiaires pour traiter les transactions – en disant: «C’est une légende de faire une telle fortune. Ce sera une légende éternelle pour sauver le monde. J’ai pris la décision, plus de DAO ».
Les détails sur la façon dont l’attaquant a réussi à orchestrer la plus grande attaque de l’histoire sur un projet DeFi sont encore inconnus. L’équipe de Poly Network vient de dire qu’après enquête préliminaire, ils ont identifié que le pirate informatique exploitait une vulnérabilité entre les appels de contrat – lorsque l’utilisateur demande une fonction spécifique d’un contrat intelligent, mais sans rien publier sur la blockchain, comme dans une transaction.
De cette façon, le projet a écarté les rumeurs selon lesquelles l’exploitation aurait été causée par un seul détenteur.
