Poly Network est une plateforme de finance décentralisée (DeFi) qui permet d'échanger des jetons entre différentes blockchains. Le fondateur du projet de blockchain chinois Neo a lancé Poly Network en partenariat avec Ontology et Switcheo. Au début de la semaine, la plateforme a fait l'objet d'une attaque au cours de laquelle les pirates ont exfiltré plus de 600 millions de dollars en cryptomonnaies. Le piratage concernait 270 millions de dollars d'ether, 250 millions de dollars sur la Smart Chain de Binance, 84 millions de dollars sur le réseau Polygon, ainsi qu'une poignée d'autres token moins importants en volume, comme Tether, Shiba Inu et Matic.Les experts ont qualifié le vol du plus gros hold-up de la finance décentralisée de l'histoire. Poly Network avait tout de suite envoyé un message aux pirates à l'origine de l'attaque pour leur demander de restituer l'argent volé, prenant la peine de leur préciser qu'ils seraient poursuivis dans le cas contraire.
Jeudi, l'entreprise a déclaré qu'un pirate ayant participé à l'attaque avait commencé par restituer les fonds. Poly Network a indiqué que 342 millions de dollars ont été restitués ajoutant que le reste, qui est apparemment entièrement en Ether, est en train d'être « progressivement transféré ». Les seuls jetons restant à restituer sont les 33 millions de dollars de stablecoins tether gelés en début de semaine par la société de cryptomonnaie Tether. Cependant, avec 600 millions de dollars, le vol de Poly Network a largement dépassé le montant record de 474 millions de dollars de pertes criminelles enregistrées par l'ensemble du secteur de la DeFi de janvier à juillet. Selon les experts, ce vol illustre les risques de la DeFi qui n'est pas actuellement réglementée. Les plateformes de DeFi permettent aux utilisateurs d'effectuer des transactions, généralement en cryptomonnaies, sans les intermédiaires traditionnels tels que les banques ou les bourses.
« Le processus de remboursement n'est pas encore terminé. Afin d'assurer la récupération sûre des actifs des utilisateurs, nous espérons maintenir la communication avec le white hat et transmettre des informations exactes au public », a déclaré Poly Network sur Twitter. Mais avant ça, mercredi, les pirates avaient déclaré dans des messages partagés par Elliptic, une société de suivi des cryptomonnaies, qu'ils avaient perpétré l'attaque « pour s'amuser » et qu'ils voulaient « exposer la vulnérabilité » et empêcher les autres de l'exploiter. Il a ajouté « qu'il a toujours été prévu de rendre les jetons ».
Mais certains analystes de la blockchain ne sont pas de cet avis. Ils pensent plutôt que les pirates de Poly Network pourraient avoir trouvé trop difficile de blanchir des cryptomonnaies volées à une telle échelle. Surtout que, selon les messages partagés par Elliptic, une personne prétendant avoir perpétré l'attaque a déclaré que Poly Network lui offrait une prime de 500 000 dollars pour rendre les actifs volés et a promis qu'elle ne serait pas tenue responsable de l'incident.
La prime de bogue de 500 000 dollars
Quoi qu'il en soit, Poly Network a confirmé vendredi avoir offert au(x) pirate(s) une prime de bogue de 500 000 $.
Dans un communiqué, l'entreprise a remercié le pirate informatique (qu'il a surnommé white hat, jargon du secteur désignant un hacker éthique qui vise généralement à exposer les cybervulnérabilités) qui avait retourné la majeure partie des fonds pour « nous avoir aidés à améliorer la sécurité de Poly Network ». Poly Network a également déclaré qu'il espérait que « M. White Hat » contribuerait au développement continu du secteur de la blockchain en acceptant la récompense de 500 000 $, qu'il avait offerte dans le cadre des négociations autour du retour des jetons. La déclaration ne précisait pas la forme sous laquelle l'entreprise paierait les 500 000 $.
Pour sa part, le hacker songe à l'accepter : « Je suis vraiment désolé que ma folle aventure ait impacté des personnes innocentes, explique-t-il. J’ai essayé de ne pas faire trop de vagues dans le monde des cryptos, de ne pas toucher aux shitcoins (ndlr : les cryptomonnaies qui ont peu de valeur), de ne pas garder l’argent pour moi et de ne pas faire de dumping. Mais même les Avengers sont visés par des plaintes de civils. Je pense sérieusement à accepter la récompense de Poly Network et à commencer un fonds de compensation pour les victimes, même si c’est dur de trouver que vous avez perdu votre argent à cause de moi et pas à cause de paris risqués. […] ».
Selon la déclaration de vendredi, le hacker a restitué 340 millions de dollars d'actifs et transféré la majeure partie du reste vers un portefeuille numérique contrôlé conjointement par lui et Poly Network. Le reste, maintenu en place, a été gelé par la société de cryptomonnaie derrière le stablecoin.
« Après avoir communiqué avec M. White Hat, nous sommes également parvenus à une compréhension plus complète de la façon dont la situation s'est déroulée ainsi que de l'intention initiale de M. White Hat », indique le communiqué, sans donner plus de détails.
Comment la plateforme de Poly Network a-t-elle été piratée ?
Le ou les hackers semblent avoir exploité une vulnérabilité dans les contrats numériques que Poly Network utilise pour déplacer des actifs entre les différentes blockchains. En effet, Poly Network fonctionne sur les blockchains Binance Smart Chain, Ethereum et Polygon. Les jetons sont échangés entre les différentes blockchains à l'aide d'un contrat intelligent qui contient des instructions sur le moment de libérer les actifs aux contreparties. Selon la société CipherTrace, l'un de ces contrats intelligents maintient de grandes quantités de liquidités pour permettre aux utilisateurs d'échanger efficacement des jetons.
Poly Network a déclaré dans un tweet mardi mardi qu'une enquête préliminaire a révélé que les pirates ont exploité une vulnérabilité dans ce contrat intelligent. Kelvin Fichter, un développeur Ethereum, a partagé sur Twitter des résultats d'une analyse selon lesquels les pirates ont semblé passer outre les instructions du contrat pour chacune des trois blockchains et ont détourné les fonds vers trois adresses de portefeuille, des emplacements numériques pour stocker les jetons. Ces adresses ont ensuite été retracées et publiées par Poly Network. Les attaquants ont volé des fonds dans plus de 12 cryptomonnaies différentes.
Dans une FAQ trouvée dans l'une des transactions, le hacker qui a restitué les fonds a donné un aperçu de la motivation derrière le piratage. « En repérant le bogue, j'ai eu un sentiment mitigé. Demandez-vous ce que vous feriez si vous étiez confronté à une telle fortune. Demander poliment à l'équipe du projet pour qu'elle le corrige. N'importe qui pourrait être le traître à qui l'on donne un milliard », a-t-il écrit. Il a aussi donné une raison pour retourner les fonds : « C'est toujours le plan. L'argent ne m'intéresse pas vraiment ! Je sais que ça fait mal quand les gens sont attaqués, mais ne devraient-ils pas apprendre quelque chose de ces piratages ? »
Sources : communiqué Poly Networks, message du hacker
Voir aussi
La criminalité liée à la cryptomonnaie a diminué en 2020, mais les violations liées à la finance décentralisée (DeFi) vont augmenter, d'après une nouvelle étude de CipherTrace Les fondateurs d'Africrypt, une plateforme d'investissement crypto, disparaissent avec 3,6 milliards $ en bitcoins. Il pourrait s'agir de la plus grosse fraude de l'histoire en matière de crypto Des pirates volent et publient des épisodes d'une série télévisée de Netflix avant sa diffusion officielle et menacent d'autres acteurs​
Les données provenant de virus sont généralement connectées à des serveurs externes basés sur le cloud, celui du laboratoire de Wuhan aurait été piraté 
