Il y a quelques jours, l’application décentralisée non-KYC FixedFloat a subi une attaque de piratage sur son infrastructure, entraînant des pertes de 26 millions de dollars.
En tout, selon la société d’audit et d’analyse blockchain PeckShield, 1728 ETH et 409 BTC ont été volés : une partie de l’argent a ensuite été nettoyée en passant par des mixeurs décentralisés et des transactions coinjoin.
FixedFloat a affirmé que les fonds des utilisateurs sont en sécurité et que le piratage n’a pas compromis la stabilité financière de l’application d’échange de crypto.
Tous les détails ci-dessous.
Summary
Vulnérabilité de la structure de FixedFloat : l’application décentralisée subit un piratage de 26 millions de dollars en BTC et ETH
Le samedi 17 février, l’application d’échange de cryptomonnaies décentralisée FixedFloat a été victime d’un piratage qui a entraîné des pertes de 26 millions de dollars en BTC et en ETH.
Tout a commencé lorsque plusieurs utilisateurs ont signalé avoir rencontré des transactions gelées et des fonds manquants sur leurs comptes; immédiatement après, il a été découvert par l’analyse on-chain que plusieurs millions de dollars avaient été drainés vers différents portefeuilles externes non reconnus.
Bien qu’il ne soit pas encore clair comment l’attaque s’est produite, l’équipe de FixedFloat a expliqué rapidement après l’incident qu’il s’agissait d’un « petit problème technique« .
Il a également déclaré que les fonds seront remboursés aux utilisateurs de la plateforme et que le piratage n’a pas compromis la stabilité financière de l’entreprise.
Quoi qu’il en soit, au moment de la rédaction de l’article l’application décentralisée reste inopérante et en mode maintenance, mais elle sera rouverte dans un avenir non spécifié, dès qu’il sera certain qu’elle est sûre à utiliser.
Voici ce qui est rapporté sur X de Fixed FixedFloat suite au hack :
L’échange décentralisé est connu pour ses services non-KYC, qui ne nécessitent pas d’inscription selon la procédure classique “Know Your Costumer”, offrant un avantage compétitif en termes de confidentialité.
En offrant la possibilité de rester anonyme et en permettant des transactions en Bitcoin via Lightning Network à ses clients, FixedFloat a attiré une large gamme d’utilisateurs venant des États-Unis.
En partie, la caractéristique de l’anonymat et le manque de contrôles internes ont favorisé l’attaque de piratage du malfaiteur, qui n’a pas eu à fournir ses données personnelles pour accéder à l’application.
Selon la société de sécurité informatique et d’analyse blockchain PeckShield, le vol s’élève précisément à 1728 ETH, d’une valeur de 4,85 millions de dollars, et 409 BTC, d’une valeur de près de 21 millions de dollars.
Une grande partie des ethers provenant du hack ont déjà été transférés sur une large gamme d’échanges décentralisés présents sur la blockchain d’Ethereum.
FixedFloat a rapporté qu’ils travaillent avec les forces de l’ordre, les sociétés d’investigation blockchain et les échanges de cryptomonnaies pour retracer les hackers, qui n’ont pas encore contacté l’échange.
L’entreprise a déclaré qu’elle honorerait tous ses engagements de paiement dès la reprise des opérations et une fois assurée que l’échange sera à nouveau sécurisé pour être utilisé.
Une partie des BTC volés lors du hack ont été recyclés via une opération de coinjoin
Alors que les ETH volés lors du piratage de l’application décentralisée FixedFloat ont été facilement déplacés vers des dizaines d’adresses différentes et ont circulé sur la blockchain Ethereum, les BTC faisant partie du même butin sont sur le point d’être recyclés avec des transactions coinjoin.
Ricordiamo che coinjoin è una tipologia di operazione Bitcoin, teorizzata per la prima volta da Gregory Maxwell nel 2013, con cui vengono combinati diversi pagamenti in BTC in un’unica transazione, tale da rendere difficile determinare quale indirizzi abbia speso quale importo.
De la même manière que les mixeurs décentralisés tels que Tornado Cash, les transactions coinjoin sont regroupées pour effectuer une seule transaction dans un pool commun, à partir duquel les déposants peuvent ensuite demander le retour de leurs fonds « pulti » et anonymes.
Dans notre cas, le pirate informatique a exploité une sorte de mélangeur qui utilise une méthode pour augmenter la confidentialité similaire à coinjoin, où plusieurs BTC ont déjà été échangés.
En particulier, nous pouvons affirmer que selon ce qu’a expliqué un chercheur web3 sur X, une partie des fonds volés, pour être précis 2.7544 ВТС, ont été transférés à l’adresse
34F2Jjmzo4N3kz3zVVBbqr3nn6NkvQvNjA, qui appartient au CEX TradeOgre.
Cet argent pourrait représenter la commission payée par le malfaiteur pour utiliser le mélangeur, qui semble être lié à l’application Whirpool qui implémente un système de confidentialité avancé.
Il est estimé que 166 BTC des 409 volés à l’application décentralisée FixedFloat ont déjà été passés par le mixer Whirpool.
Les incidents comme celui-ci sont monnaie courante dans les environnements cryptographiques, en particulier dans ceux qui ne sont pas conformes aux normes KYC et qui protègent en quelque sorte l’anonymat des hackers.
According to the forensic on-chain research company Chainalysis, despite the numerous incidents recorded in 2023 hacks and exploits are decreasing compared to the previous year, where there had been a boom in thefts.
En tout, la valeur des fonds piratés a chuté d’environ 54,3% par rapport à 2022, avec un montant total volé d’environ 1,7 milliard de dollars, principalement issu de cas de piratage d’applications DeFi.
