Lmangé le mois dernier, les pirates se sont enfuis avec ce qui valait alors plus de 500 millions de dollars des systèmes du réseau de crypto-monnaie Ronin, dans ce que l’on pense être le deuxième plus grand vol de crypto-monnaie jamais enregistré.
Ronin était une cible juteuse pour un hacker. Le projet blockchain prend en charge le jeu vidéo très populaire Axie Infinity, qui, avec environ 8 millions de joueurs, a établi des comparaisons avec des jeux de collecte axés sur l’action comme Pokémon Go.
Axie Infinity est chaud et implique des sommes d’argent conséquentes. Les joueurs achètent des créatures appelées Axies sous la forme de NFT, des actifs numériques uniques connus sous le nom de jetons non fongibles. Les créatures peuvent se reproduire, se battre et même être échangées contre de l’argent comptant.
Le jeu a gagné en popularité car les joueurs voient le potentiel de gagner de l’argent réel. En 2020, un joueur philippin de 22 ans aurait acheté deux appartements à Manille avec ses gains du match. L’année dernière, un autre joueur a déclaré qu’il gagnait plus grâce à Axie Infinity et à d’autres jeux en ligne que grâce à son travail à plein temps chez Goldman Sachs.
Mais les fondements du jeu font face à des défis de sécurité importants. Pour jouer, les joueurs doivent transférer leur argent d’Ethereum à Ronin sur un système de « pont » blockchain. Ronin est une « sidechain » d’Ethereum – une solution de mise à l’échelle qui permet aux transactions de se produire plus rapidement que sur Ethereum, qui est congestionné par la quantité d’activité qu’il héberge. L’hébergement du jeu sur cette sidechain garantit qu’il peut se développer sans perdre de fonctionnalité. Les ponts peuvent contenir beaucoup d’argent à la fois, donc en ciblant le pont Ronin qui transférait les actifs des joueurs entre les chaînes de blocs, les pirates ont pris le contrôle des actifs et ont décollé avec l’argent.
Le gouvernement américain a déclaré cette semaine qu’il pensait que des pirates nord-coréens étaient à l’origine du braquage. Mais ce n’est que le dernier d’une série de vols cryptographiques effrontés de grande envergure. En 2018, plus de 530 millions de dollars ont été volés à l’échange de crypto Coincheck. En février, des pirates informatiques se sont emparés de 320 millions de dollars de la plate-forme financière décentralisée Wormhole (bien que ce butin ait finalement été restitué). Et au cours de ce même mois, dans peut-être le cyber-casse le plus médiatisé de l’année, les procureurs ont accusé un étrange couple, Ilya « Dutch » Lichtenstein et sa femme, Heather Morgan, – également connue pour ses raps loufoques sur TikTok sous le nom de Razzlekhan – de complot en vue de blanchir des milliards de dollars de bitcoins volés à l’échange de crypto Bitfinex en 2016.
C’est une tendance.En 2021, 3,2 milliards de dollars de crypto-monnaie ont été volés à des particuliers et à des services, selon un rapport sur la criminalité cryptographique de Chainalysis, une société qui fournit des données et des analyses de blockchain aux banques, aux gouvernements et à d’autres entreprises. (Ronin travaille également avec Chainalysis pour retracer les fonds volés dans le piratage, selon Reuters.) Le chiffre est près de six fois ce montant volé en 2020. Jusqu’à présent cette année, plus d’un milliard de dollars ont déjà été volés, selon les experts. chez Chainalysis et d’autres entreprises de sécurité.
Vulnérabilités dans les contrats intelligents
Les hacks très médiatisés et les sommes d’argent importantes impliquées ont soulevé des questions sur la vulnérabilité de la blockchain – longtemps considérée comme un endroit sûr pour stocker des actifs – à de telles violations.
Certains experts affirment que l’augmentation des signalements de vol de cryptomonnaies survient alors que la cryptomonnaie est plus largement utilisée et mieux comprise que jamais.
« Vous avez essentiellement beaucoup d’argent sur la table, et sur une table très publique », a déclaré Nicholas Christin, professeur agrégé à l’Université Carnegie Mellon qui étudie la criminalité en ligne et la sécurité informatique et réseau. Avec de grosses sommes d’argent circulant publiquement sur ces systèmes transparents, il peut être tentant pour un pirate de bondir.
Pour comprendre comment ces cambriolages sont possibles, il est important de faire la distinction entre la blockchain et les autres programmes qui fonctionnent dessus, disent les experts. La blockchain elle-même est un registre public décentralisé qui permet des transactions peer-to-peer. C’est la couche fondamentale sur laquelle Bitcoin, Ethereum ou Solana sont construits.
La deuxième couche – celle qui est fréquemment exploitée – sont des contrats intelligents qui s’exécutent au-dessus des chaînes de blocs. Les contrats intelligents sont des accords codés qui s’exécutent automatiquement lorsque les conditions du contrat sont remplies. L’analogie courante est celle d’un distributeur automatique numérique – sélectionnez un produit, mettez le bon montant d’argent et votre article sera automatiquement distribué. Ces contrats sont irréversibles.
Les pirates informatiques se frayent un chemin vers l’argent à travers ces systèmes de deuxième couche en profitant de bogues dans le code ou en obtenant les clés privées qui leur permettront d’accéder aux systèmes, a expliqué Christin. Certains hackers subvertissent même les contrats intelligents pour rediriger les fonds entre leurs mains.
Dans le piratage Axie Infinity, qui ciblait le pont Ronin, le pirate a obtenu suffisamment de clés privées pour contrôler le pont et drainer les fonds. Étant donné que tant d’utilisateurs avaient leurs actifs dans le pont, le paiement était énorme.
« Le protocole de blockchain sous-jacent est sécurisé », a déclaré Ronghui Gu, fondateur et PDG de la société de sécurité blockchain Certik. « Mais les programmes – les contrats intelligents – qui s’exécutent dessus sont toujours comme d’autres programmes normaux, qui peuvent avoir des bogues logiciels et des vulnérabilités. »
Il est courant que les pirates tentent d’exploiter le code de l’une de leurs cibles. Et cela aide qu’une grande partie du code des programmes blockchain soit open source, ce qui le rend facilement accessible aux pirates qui souhaitent examiner le code et trouver des bogues potentiels.
« Dans ce monde, les gens disent » dans le code, nous avons confiance « , mais le code lui-même n’est en effet pas si fiable », a déclaré Gu. Lorsqu’il a lancé son entreprise de sécurité blockchain en 2018, a expliqué Gu, seules quelques entreprises utilisaient des services de sécurité tiers comme le sien pour auditer et évaluer leur code – un filet de sécurité critique – mais il a vu le nombre augmenter progressivement.
Les échanges cryptographiques sont également des cibles majeures pour les hacks. Les échanges sont comme les banques, ce sont des entités centrales qui détiennent des quantités massives d’argent de leurs utilisateurs et les transactions sont irréversibles. Comme les ponts, il s’agit d’un programme intermédiaire qui a tendance à être ciblé. « Ces grands échanges ont une énorme cible sur le dos », a déclaré Christin.
Les victimes sont parties avec gros fardeau de sécurité
Une fois les actifs cryptographiques volés, il peut être difficile pour les voleurs d’encaisser, surtout si le braquage se situe dans la fourchette à neuf chiffres. Cela signifie que les fonds sont souvent laissés dans les limbes pendant des années, voire indéfiniment. Pendant ce temps, la valeur des fonds volés peut fluctuer en raison de la nature volatile du marché de la cryptographie.
Le rapport sur la criminalité cryptographique de Chainalysis estime que les criminels détiennent actuellement au moins 10 milliards de dollars de crypto-monnaie, la grande majorité obtenue par vol. Grâce à la transparence sur la blockchain, il est possible de retracer ces transactions et avoirs, mais l’identité de l’auteur est difficile à déterminer tant que les fonds ne sont pas encaissés.
On peut considérer le scandale Bitfinex comme une étude de cas de tentative de blanchiment. « Les fonds n’ont pas bougé pendant très longtemps. Et puis quand ils ont essayé d’initier le processus de blanchiment, c’était une opportunité pour les forces de l’ordre de s’impliquer à nouveau, car les gens suivent ces hacks », a déclaré Kim Grauer, directeur de recherche chez Chainalysis.
Pour les victimes de stratagèmes, il existe peu de moyens de récupérer des avoirs. « Si la sécurité d’une banque échoue, ce n’est pas si mal pour la banque », a déclaré Ethan Heilman, expert en cybersécurité et co-fondateur du service cloud BastionZero. « Mais si vous êtes un échange de crypto-monnaie et que quelqu’un vide toute votre crypto-monnaie, c’est vraiment mauvais pour vous. » Les banques ont mis en place des mesures pour protéger leurs clients qui manquent à la blockchain. Si sa carte de crédit est volée, les polices d’assurance garantissent que l’on recevra généralement cet argent. Sur la blockchain, cependant, les transactions sont irréversibles – il n’y a pas de bouton d’annulation.
Cela signifie qu’il y a un énorme fardeau de sécurité pour les utilisateurs individuels pour protéger leurs actifs. « Les utilisateurs finaux ne sont pas nécessairement conscients des risques de sécurité qu’ils encourent », a déclaré Christin. « Très franchement, même les gens sur le terrain n’ont pas nécessairement le temps d’aller revoir le code source d’un contrat intelligent. »
Si l’on confie ses clés au mauvais intermédiaire de second niveau, il est possible qu’il soit victime d’un braquage. Collectivement, la plupart ne sont pas habitués à cette responsabilité.
Les sociétés de cryptographie commencent à prendre plus au sérieux la sécurité, a déclaré Heilman, mais un monde sans piratage n’est pas réaliste, a-t-il ajouté. « Vous ne devenez jamais en sécurité, vous devenez simplement plus en sécurité », a-t-il déclaré. « Donc, étant donné la facilité de monétiser une vulnérabilité dans l’un de ces systèmes, je pense qu’il est probable que nous continuerons à voir des choses se faire pirater, et la question ne sera pas, ‘y a-t-il un nouveau hack ce mois-ci ?’ Ce sera : ‘quelle est la fréquence des hacks ce mois-ci ?’
« Il y a des choses importantes que l’industrie doit surmonter pour vraiment se développer et évoluer », a déclaré Grauer, « parce que vous ne pouvez pas avoir une industrie en croissance saine si tout le monde a peur d’être piraté. »