Mauvaise nouvelle pour la platform crypto Poly Network, victime hier matin d’un hack qui a conduit une partie malveillante à miner pas moins de 44 milliards de dollars en BUSD, BNB et SHIB.
Pour la plateforme, il s’agit du deuxième incident en deux ans: en 2021, elle avait été touchée par un vol d’une valeur de 600 millions de dollars.
Bien que le montant du piratage soit beaucoup plus important dans ce cas, la quantité de crypto qui a été effectivement vendue est bien moindre, car l’attaquant n’a pas pu monétiser le casse en raison du manque de liquidité sur certaines blockchains.
Voyons tous les détails ensemble.
Le hack du Poly Network: 44 milliards de dollars de crypto
Dimanche 2 juillet, le pont Poly Network, une plateforme qui permet à différents réseaux de blockchain d’interopérer, a été piraté, obligeant l’équipe à bloquer temporairement ses services.
Il s’agit du deuxième cas de violation du protocole, après sa compromission pour 600 millions de dollars en 2021.
Dans ce cas, les crypto-monnaies compromises représentaient une valeur totale de pas moins de 42 milliards de dollars.
L’attaquant en question, encore inconnu, a réussi à exploiter une vulnérabilité dans le smart contract de la plateforme qui lui a permis de miner un nombre illimité de token à partir du pool de Poly Network.
En termes techniques, selon un expert en cryptographie et en web3, le pirate a manipulé une fonction qui lui a permis de « créer un paramètre malveillant contenant une fausse signature de validateur et un faux en-tête de bloc ».
Dans le détail, environ 100 millions de BNB et 10 milliards de BUSD ont été frappés sur la blockchain Metis, et 999 milliards de SHIB sur le réseau Heco, ainsi que de nombreux autres tokens mineurs tels que COW, COOK, OOE, STACK et GM sur les chaînes Polygon, Avalanche, Bnb Chain et Okx.
À première vue, on pourrait dire que cela représente le plus grand piratage de l’histoire de la crypto, une quantité vraiment stupéfiante ayant été minée.
Mais en vérité, l’attaquant n’a réussi à monétiser que 5 millions de dollars, en raison du manque de liquidité sur les réseaux touchés.
En effet, sans un pool où les crypto-monnaies frappées pouvaient être converties, l’individu s’est retrouvé avec une quantité incroyable de pièces sans cours!
Cela s’explique par le fait que l’équipe du Network, suite à cet incident embarrassant, s’est immédiatement mobilisée pour alerter les sociétés d‘analyse on-chain et les principaux projets de crypto, qui ont bloqué les robinets de liquidité sur les actifs et les réseaux affectés.
Au total, l’exploit a touché 57 actifs différents, mais ceux qui ont été effectivement vendus n’étaient qu’une vingtaine, à l’exception des milliards de dollars en BUSD, BNB et SHIB.
Il est amusant de constater que les 99 millions de BNB qui ont été frappés par l’exploiteur et transférés à une deuxième adresse devraient valoir 24,8 milliards de dollars sur le papier, mais ne valent rien en réalité.
La liquidité est tout: pour le pirate, la monétisation crypto du vol est devenue impossible
Le cas du hack du pont de Poly Network est illustratif du sens de l’expression « La liquidité est tout » que l’on entend souvent résonner lorsqu’il est question des protocoles décentralisés de DeFi.
Alors que lors du piratage de la même plateforme en 2021, le groupe nord-coréen Lazarus avait réussi à s’enfuir avec un butin de 600 millions de dollars, dans ce cas-ci, le manque de liquidités a été crucial pour empêcher une vente massive de plusieurs crypto-monnaies.
En effet, quelques heures après l’incident, toutes les infrastructures affectées ont réagi pour minimiser l’impact du piratage, en fermant les pools de liquidité où l’attaquant aurait pu convertir les pièces frappées en l’air.
L’équipe blockchain de Metis a immédiatement rassuré sa propre communauté et celle des Binanciens en affirmant qu’il n’y avait pas assez de liquidités sur son réseau pour vendre BNB et BUSD, qui étaient les crypto les plus exposées au risque de liquidation.
En outre, Changpeng Zhao lui-même, fondateur de l’exchange de crypto-monnaies, a déclaré de manière opportune que l’incident ne nuirait pas à BNB et BUSD, car Binance n’accepte pas les dépôts sur le réseau Metis.
Sans un pool décentralisé où les fonds frappés peuvent être échangés, et sans un exchange adossé où ils peuvent être échangés, ces actifs restent sans valeur.
D’une manière générale, lorsque de tels piratages se produisent et que des actifs d’une valeur de plusieurs milliards sont compromis, la coopération de la principale infrastructure centralisée est cruciale pour éviter des conséquences désastreuses.
Pendant que les robinets de liquidités restent vides, les régulateurs et les sociétés de suivi de la chaîne tentent de retrouver l’identité de l’individu qui s’est échappé avec 5 millions de dollars en poche.
Bien qu’il n’y ait pas eu de conséquences graves, cela reste un dommage pour la communauté crypto, qui ne peut plus utiliser certains pools et services d‘interopérabilité.
En attendant d’en savoir plus sur cette histoire intéressante, nous ne pouvons que féliciter l’équipe de Poly Network, qui a su se faire pirater deux fois en l’espace de deux ans, faisant preuve d’incompétence dans ses activités.
L’affaire ouvre un débat très intéressant sur la nature des ponts, très utiles pour passer d’une blockchain à l’autre mais extrêmement vulnérables ainsi que lieu de prédilection des crypto-pirates qui ont dérobé pas moins de 2,5 milliards de dollars sur ce type de plateforme depuis 2017.
Le commentaire des experts sur l’hack crypto
Anatoly Makosov, développeur principal chez TON Foundation:
« Les transferts de valeurs entre différentes chaînes de blocs sont utiles et en demande. La grande majorité des blockchains utilisent des ponts de transfert croisés gérés par des oracles intermédiaires. Cela fournit généralement un niveau acceptable de sécurité du pont, mais il y a toujours une possibilité théorique que les oracles peuvent être piratés. L’exploitation sur le réseau Poly démontre encore la nécessité de rester dans un état de vigilance perpétuelle.
« Chez The Open Network (TON), nous nous efforçons de rendre notre technologie aussi efficace et décentralisée que possible. Nos ponts Oracle sont une preuve de l’enjeu blockchain en miniature, nous sommes constamment en cours d’exécution des programmes de primes de bogue et ont des audits de dirigeants des équipes de sécurité tels que CertiK, Hexens, Quanstamp et Trail of bits. Et pourtant, nous avons alloué beaucoup de ressources et de temps pour développer des solutions qui fonctionnent entièrement sur des contrats intelligents sans intermédiaires. Nous avons obtenu d’importants résultats à cet égard et, après l’achèvement des travaux, nous prévoyons migrer nos solutions actuelles dans la chaîne de production vers cette technologie. »
