WASHINGTON, 12 août (Reuters) – Les pirates ont réussi mardi le plus gros cambriolage de crypto-monnaie jamais réalisé, volant 613 millions de dollars de pièces numériques à la plate-forme d’échange de jetons Poly Network, pour restituer 260 millions de dollars de jetons moins de 24 heures plus tard, a annoncé la société. . Voici ce que nous savons jusqu’à présent sur le casse.

QU’EST-CE QUE POLY NETWORK ?

Un nom moins connu dans le monde de la cryptographie, Poly Network est une plate-forme de finance décentralisée (DeFi) qui facilite les transactions peer-to-peer en permettant aux utilisateurs de transférer ou d’échanger des jetons entre différentes blockchains.

Par exemple, un client pourrait utiliser Poly Network pour transférer des jetons tels que le bitcoin de la blockchain Ethereum vers la Binance Smart Chain, cherchant peut-être à accéder à une application spécifique.

Le site Web de Poly Network n’indiquait pas immédiatement où la plate-forme est basée ou qui l’exécute. Selon le site spécialisé de crypto Coindesk, Poly Network a été lancé par les fondateurs du projet de blockchain chinois Neo.

COMMENT LES HACKERS ONT-ILS VOLÉ LES JETONS ?

Poly Network opère sur les blockchains Binance Smart Chain, Ethereum et Polygon. Les jetons sont échangés entre les blockchains à l’aide d’un contrat intelligent qui contient des instructions sur le moment de libérer les actifs aux contreparties.

L’un des contrats intelligents que Poly Network utilise pour transférer des jetons entre les blockchains maintient de grandes quantités de liquidités pour permettre aux utilisateurs d’échanger efficacement des jetons, selon la société de renseignement cryptographique CipherTrace.

Poly Network a tweeté mardi qu’une enquête préliminaire avait révélé que les pirates avaient exploité une vulnérabilité dans ce contrat intelligent.

Selon une analyse des transactions tweetée par Kelvin Fichter, un programmeur d’Ethereum, les pirates semblaient passer outre les instructions du contrat pour chacune des trois blockchains et détourner les fonds vers trois adresses de portefeuille, emplacements numériques pour stocker des jetons. Ceux-ci ont ensuite été tracés et publiés par Poly Network.

Les attaquants ont volé des fonds dans plus de 12 crypto-monnaies différentes, y compris de l’éther et un type de bitcoin, selon la société de criminalistique blockchain Chainalysis.

Une personne affirmant avoir perpétré le piratage a déclaré avoir repéré un « bug », sans le préciser, et qu’elle souhaitait « exposer la vulnérabilité » avant que d’autres puissent l’exploiter, selon des messages numériques publiés sur le réseau Ethereum publiés par Chainalysis. Reuters n’a pas pu vérifier l’authenticité des messages.

O EST ALLÉ L’ARGENT ?

Mercredi soir, les pirates avaient restitué 260 millions de dollars d’actifs, a déclaré Poly Network, mais 353 millions de dollars étaient impayés. On ne sait pas où sont passés les actifs restants.

Coindesk a rapporté mardi que les pirates avaient tenté de transférer des actifs, y compris des jetons d’attache de l’un des trois portefeuilles vers le pool de liquidités Curve.fi, mais ce transfert a été rejeté. Environ 100 millions de dollars ont été retirés d’un autre des portefeuilles et déposés dans le pool de liquidités Ellipsis Finance, a également rapporté Coindesk.

Courbe.fi. et Ellipsis Finance n’a pas pu être contacté dans l’immédiat pour commenter.

QUI EST LE HACKER ?

Le ou les pirates n’ont pas encore été identifiés.

La société de sécurité de crypto-monnaie SlowMist a déclaré sur son site Web qu’elle avait identifié la boîte aux lettres de l’attaquant, l’adresse de protocole Internet et les empreintes digitales de l’appareil, mais la société n’a encore nommé personne. SlowMist a déclaré que le casse était « probablement une attaque planifiée, organisée et préparée de longue date ».

Malgré le prétendu pirate se faisant passer pour un soi-disant « chapeau blanc », un pirate éthique qui visait à identifier la vulnérabilité de Poly Network et avait « toujours » prévu de rendre l’argent, selon les messages publiés par Chainalysis, certains experts en cryptographie sont sceptiques.

Gurvais Grigg, directeur de la technologie chez Chainalysis et ancien vétéran du FBI, a déclaré qu’il était peu probable que des pirates informatiques volent une somme aussi importante. Il a dit qu’ils avaient probablement rendu une partie des fonds parce qu’il s’était avéré trop difficile de les convertir en espèces.

« C’est difficile de connaître la motivation… Voyons voir s’ils remboursent la totalité du montant », a-t-il ajouté.

Reportage de Michelle Price à Washington et Gertrude Chavez-Dreyfuss à New York ; édité par Richard Pullin

Nos normes : les principes de confiance de Thomson Reuters.