Poly Network a annoncé jeudi que les pirates à l'origine de l'attaque du mardi contre sa plateforme d'échange de cryptomonnaies ont rendu la quasi-totalité des plus de 610 millions de dollars qu'ils ont volés. Dans une série de déclarations sur les circonstances du vol, les pirates ont affirmé que le vol n'était que "pour le plaisir". Ils ont également affirmé que les jetons avaient été transférés sur les propres portefeuilles du pirate pour "les garder en sécurité". Poly Network a par la suite déclaré sur Twitter qu'il avait vraisemblablement à faire à des hackers "white hat", en référence aux hackers éthiques qui visent généralement à exposer les vulnérabilités.Les pirates auraient volé les 600 millions de dollars juste pour s'amuser
Poly Network est une plateforme de finance décentralisée (DeFi) qui permet d'échanger des jetons entre différentes blockchains. Le fondateur du projet de blockchain chinois Neo a lancé Poly Network en partenariat avec Ontology et Switcheo. Au début de la semaine, la plateforme a fait l'objet d'une attaque au cours de laquelle les pirates ont exfiltré plus de 600 millions de dollars en cryptomonnaies. Le piratage concernait 270 millions de dollars d'ether, 250 millions de dollars sur la Smart Chain de Binance, 84 millions de dollars sur le réseau Polygon, ainsi qu'une poignée d'autres pièces plus petites, comme Tether, Shiba Inu et Matic.
Les experts ont qualifié le vol du plus gros hold-up de la finance décentralisée de l'histoire. Poly Network avait tout de suite envoyé un message aux pirates à l'origine de l'attaque pour leur demander de restituer l'argent volé et qu'ils seraient poursuivis dans le cas contraire. Tôt dans la journée du jeudi, l'entreprise a déclaré qu'un pirate ayant participé à l'attaque avait commencé par restituer les fonds. Vers 4h du matin jeudi, Poly Network a indiqué que 342 millions de dollars ont été restitués. Il a ajouté que le reste, qui est apparemment entièrement en Ether, est en train d'être "progressivement transféré".
« Le processus de remboursement n'est pas encore terminé. Afin d'assurer la récupération sûre des actifs des utilisateurs, nous espérons maintenir la communication avec le white hat et transmettre des informations exactes au public », a déclaré Poly Network sur Twitter. Mais avant ça, mercredi, les pirates avaient déclaré dans des messages partagés par Elliptic, une société de suivi des cryptomonnaies, qu'ils avaient perpétré l'attaque "pour s'amuser" et qu'ils voulaient "exposer la vulnérabilité" et empêcher les autres de l'exploiter. Il a ajouté qu'"il a toujours été prévu de rendre les jetons".
Mais certains analystes de la blockchain ne sont pas de cet avis. Ils pensent plutôt que les pirates de Poly Network pourraient avoir trouvé trop difficile de blanchir des cryptomonnaies volées à une telle échelle. En outre, toujours selon les messages partagés par Elliptic, une personne prétendant avoir perpétré l'attaque a déclaré que Poly Network lui offrait une prime de 500 000 dollars pour rendre les actifs volés et a promis qu'elle ne serait pas tenue responsable de l'incident. L'on ne s'est pas si Poly Network a proposé une récompense pour la restitution des fonds, et l'entreprise ne s'est pas encore prononcée sur cette allégation.
Les seuls jetons restant à restituer sont les 33 millions de dollars de stablecoins tether gelés en début de semaine par la société de cryptomonnaie Tether. Cependant, avec 600 millions de dollars, le vol de Poly Network a largement dépassé le montant record de 474 millions de dollars de pertes criminelles enregistrées par l'ensemble du secteur de la DeFi de janvier à juillet. Selon les experts, ce vol illustre les risques de la DeFi qui n'est pas actuellement réglementée. Les plateformes de DeFi permettent aux utilisateurs d'effectuer des transactions, généralement en cryptomonnaies, sans les intermédiaires traditionnels tels que les banques ou les bourses.
Comment ont-ils réussi à pirater la plateforme de Poly Network ?
Le ou les hackers encore non identifiés semblent avoir exploité une vulnérabilité dans les contrats numériques que Poly Network utilise pour déplacer des actifs entre les différentes blockchains. En effet, Poly Network fonctionne sur les blockchains Binance Smart Chain, Ethereum et Polygon. Les jetons sont échangés entre les différentes blockchains à l'aide d'un contrat intelligent qui contient des instructions sur le moment de libérer les actifs aux contreparties. Selon la société CipherTrace, l'un de ces contrats intelligents maintient de grandes quantités de liquidités pour permettre aux utilisateurs d'échanger efficacement des jetons.
Poly Network a déclaré dans un tweet mardi mardi qu'une enquête préliminaire a révélé que les pirates ont exploité une vulnérabilité dans ce contrat intelligent. Kelvin Fichter, un programmeur Ethereum, a partagé sur Twitter des résultats d'une analyse selon lesquels les pirates ont semblé passer outre les instructions du contrat pour chacune des trois blockchains et ont détourné les fonds vers trois adresses de portefeuille, des emplacements numériques pour stocker les jetons. Ces adresses ont ensuite été retracées et publiées par Poly Network. Les attaquants ont volé des fonds dans plus de 12 cryptomonnaies différentes.
Dans une FAQ trouvée dans l'une des transactions, le pirate qui a restitué les fonds a donné un aperçu de la motivation derrière le piratage. « En repérant le bogue, j'ai eu un sentiment mitigé. Demandez-vous ce que vous feriez si vous étiez confronté à une telle fortune. Demander poliment à l'équipe du projet pour qu'elle le corrige. N'importe qui pourrait être le traître à qui l'on donne un milliard », a-t-il écrit. Il a aussi donné une raison pour retourner les fonds : « C'est toujours le plan. L'argent ne m'intéresse pas vraiment ! Je sais que ça fait mal quand les gens sont attaqués, mais ne devraient-ils pas apprendre quelque chose de ces piratages ? »
Pour l'heure, il est difficile d'authentifier ces déclarations, bien qu'un expert ait affirmé qu'elles étaient liées au compte du pirate. Par ailleurs, le pirate a ajouté qu'il comptait profiter un peu des stablecoins, c'est-à-dire faire un peu de bénéfices pour couvrir les frais de l'attaque, avant de les rendre. « En attendant, le dépôt des [stablecoins comme le Tether,] pourrait rapporter des intérêts pour couvrir les coûts potentiels afin que j'aie plus de temps pour négocier avec l'équipe Poly », a déclaré le hacker. Ce dernier a terminé ses déclarations en disant : « Je préfère rester dans l'obscurité et sauver le monde ».
Source : Poly Network (1, 2)
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous des déclarations du pirate ? Selon vous, dit-il la vérité ? Pensez-vous qu'il s'est rétracté simplement parce qu'il ne pouvait pas blanchir les fonds ?Voir aussi
Plus de 600 millions de dollars dérobés dans le plus grand piratage de la finance décentralisée à ce jour la DeFi a encore de nombreux défis à relever La criminalité liée à la cryptomonnaie a diminué en 2020, mais les violations liées à la finance décentralisée (DeFi) vont augmenter, d'après une nouvelle étude de CipherTrace Les fondateurs d'Africrypt, une plateforme d'investissement crypto, disparaissent avec 3,6 milliards $ en bitcoins. Il pourrait s'agir de la plus grosse fraude de l'histoire en matière de crypto 
