Une heure après que le monde a découvert qu’un pirate présumé s’était emparé de 600 millions de dollars dans l’un des plus gros cambriolages de crypto-monnaie jamais réalisés, le voleur a donné un pourboire de 42 000 $ à un passant pour avoir averti que certains des actifs étaient gelés.
L’acte de générosité apparent n’était que la première tournure inattendue d’un vol virtuel qui a saisi l’industrie de la cryptographie et a laissé de nombreux observateurs se gratter la tête.
La cible du mystérieux hacker était un groupe obscur appelé Poly Network, un projet dans le monde de la finance décentralisée, connu sous le nom de DeFi, qui relie certains des registres numériques les plus utilisés. DeFi est à la pointe du monde des actifs numériques. Les développeurs construisent des réseaux automatisés pour permettre aux particuliers et aux entreprises d’éviter les intermédiaires payants tels que les banques et les bourses.
Sur le marché de la cryptographie, toutes les transactions peuvent être vues sur des registres numériques. Poly a profité de cette fonctionnalité de la même manière qu’une banque peut alerter les autorités sur les numéros de série des espèces volées. Il a appelé les autres participants de l’industrie à « mettre sur liste noire » le butin volé, ce qui rend beaucoup plus difficile pour le pirate informatique de le déplacer sans se faire prendre.
Avec la fermeture rapide des voies d’évacuation pour déplacer une somme aussi importante, le pirate informatique a commencé à faire valoir qu’il s’agissait d’un voleur altruiste, sorti pour passer un bon moment et pour mettre en valeur les vulnérabilités de Poly pour le plus grand bien.
« J’espère que ma vie pourra être composée d’aventures uniques, alors j’aime tout apprendre et tout hacker pour lutter contre le destin », a écrit le hacker dans des messages consultables sur une blockchain. Travailler sur l’angle mort de Poly Network « serait l’un des meilleurs moments de ma vie », a déclaré le pirate informatique, qui n’a pas encore été identifié.
‘Mr White Hat’ parle
Alors que l’incident se déroulait cette semaine, le pirate informatique surnommé « Mr White Hat » a envoyé des communiqués via la blockchain Ethereum, qui peuvent être consultés publiquement. La conversation blockchain révèle une partie des négociations du pirate avec Poly Network et donne quelques indices sur la motivation derrière le vol.
Voici quelques extraits de ces messages :
« Pas tellement intéressé par l’argent, j’envisage maintenant de rendre des jetons ou de les laisser ici. » – Monsieur Chapeau Blanc
« Nous pouvons vous offrir une prime de sécurité lorsque vous restituez tous les actifs restants. Nous vous fournirons une adresse sécurisée par e-mail. – Réseau Poly
« J’explore le sens de la vie depuis un certain temps. » – Monsieur Chapeau Blanc
« Je sais que ça fait mal quand les gens sont attaqués, mais ne devraient-ils pas apprendre quelque chose de ces hacks ? » – Monsieur Chapeau Blanc
« Q : Pourquoi pirater ? A. Pour le plaisir 🙂 ” – Monsieur Chapeau Blanc
Après avoir cité le philosophe allemand Martin Heidegger, le hacker a alors adopté une attitude de justicier à la Batman. « Je préfère travailler dans le noir et sauver le monde », ont-ils écrit.
Pour certains, une philosophie maison qui mélange la culture high et pop pour justifier de prendre 600 millions de dollars peut sembler exagérée. Le marché DeFi avait déjà la réputation d’être le plus sauvage du « Wild West » dans le monde de la cryptographie largement non réglementé. L’année dernière, DeFi ne représentait que 6% de toutes les activités de crypto-monnaie, mais représentait un tiers de tous les vols d’actifs numériques, selon Chainalysis, une société de données cryptographiques.
Mais alors que la poussière commençait à retomber, de nombreux passionnés de crypto, une communauté qui a longtemps défendu les idéaux libertaires, commençaient déjà à lui prêter une oreille sympathique. Il avait même donné au pirate un surnom – « Mr White Hat » – en référence à un prétendu piratage « éthique ».
« Jusqu’à présent, le monde a été trop indulgent envers les personnes déployant des systèmes non sécurisés que les entreprises gèrent plutôt que de réparer. Ce qui est merveilleux avec DeFi, c’est qu’il ne pardonne pas de cette façon », a déclaré Mark Miller, directeur de la technologie chez Agoric, qui fournit des logiciels pour les transactions DeFi.
« Nous avons ici un écosystème dans lequel les participants peu sûrs sont tués rapidement, de sorte qu’il est peuplé par les survivants du processus. »
La soudaine ascension du pirate informatique anonyme a commencé mardi, après avoir identifié un point faible dans les systèmes de Poly.
Poly avait développé un protocole informatique, ou un ensemble de règles, qui permet aux utilisateurs de transférer des jetons liés à une blockchain vers un réseau différent. De nombreuses blockchains parmi les plus utilisées au monde, telles que Binance Smart Chain et Ethereum, fonctionnent de manière indépendante. Leurs pièces, offertes comme incitation aux utilisateurs, fonctionnent sur des technologies distinctes.
Cela signifie que les investisseurs ne peuvent pas facilement déplacer des jetons vers une autre blockchain pour les échanger ailleurs. Poly a agi comme un pont mais M. White Hat a trouvé un bogue qui lui a donné un accès direct aux registres.
Peu après 13h30, heure de Londres, Poly a alerté le monde sur Twitter que des milliers de jetons avaient été supprimés de son réseau. Sa réponse a été de publier les adresses alphanumériques uniques des portefeuilles auxquels les jetons avaient été envoyés, afin que d’autres acteurs de la cryptographie puissent identifier et potentiellement bloquer d’autres transactions.
Des bourses telles que Binance et OKEx ont déclaré qu’elles surveillaient la situation. Tether, l’opérateur stablecoin, a déclaré avoir gelé environ 33 millions de dollars de ses jetons. Alors que les échanges au cœur du système cryptographique commençaient à bloquer le chemin du hacker, l’aventure prenait une nouvelle tournure.
Les utilisateurs de la blockchain Ethereum peuvent créer des transactions cryptographiques et joindre des commentaires à la vue du monde. L’informateur utile du pirate informatique a utilisé cette fonctionnalité pour avertir M. White Hat que les actifs étaient verrouillés. D’autres ont commencé à donner un pourboire à M. White Hat avec des jetons, accompagnés de messages demandant le retour des fonds. Alors que la plupart des pourboires valaient moins de 1 $, une poignée des plus de 1 300 transactions impliquaient des jetons valant des centaines de dollars dans l’espoir de recevoir un paiement plus substantiel.
Poly a laissé un message sur Ethereum demandant au pirate de les contacter. Moins d’une heure plus tard, M. White Hat a répondu sur la même chaîne. L’attaquant et la cible communiquaient en public.
Dans un langage plus conciliant, Poly a ensuite offert une prime d’une valeur de 500 000 $ en récompense pour avoir trouvé le bogue et restitué les actifs. « Nous espérons qu’il restera dans les mémoires comme le plus grand hack de chapeaux blancs de l’histoire », a déclaré l’organisation.
L’appel à la vanité du hacker a fonctionné. Il n’a donné aucune indication qu’il prendrait l’argent mais, le lendemain, a commencé à transférer de petites sommes sur un compte commun. Tel un négociateur de police dans un film, Poly a encouragé le hacker à continuer : « Vous faites bouger les choses. [in] la bonne direction.
Vendredi, Poly a déclaré que la quasi-totalité des fonds avait été restituée et qu’elle se préparait à prendre le contrôle total des actifs à remettre à leurs propriétaires. Alors que le pirate informatique se rendait, le voleur restait provocant ; « Piratage pour de bon, j’ai sauvé le projet », a-t-il écrit via Ethereum.
Pour certains, l’épisode avait représenté une leçon importante sur les failles du système, en particulier les protocoles qui cherchent à connecter des blockchains comme Poly. « Une blockchain peut être extrêmement sécurisée mais uniquement dans son propre monde. Au moment où il a besoin de parler à autre chose en dehors de la blockchain, ce qui peut potentiellement poser des problèmes », a déclaré Kevin Werbach, universitaire à l’école de commerce Wharton de l’Université de Pennsylvanie.
Les avocats ont déclaré qu’il n’était pas clair si les utilisateurs dont les fonds étaient pris au piège lanceraient ou même pourraient lancer une contestation judiciaire. Le site Web de Poly n’offre aucune condition régissant son utilisation, ni ne fait référence à une entité légale.
Les systèmes DeFi utilisent des programmes logiciels appelés contrats intelligents pour transférer des crypto-monnaies, supprimant tout intermédiaire humain et compliquant la tâche d’attribuer la responsabilité à une partie. Certains développeurs ont fait valoir que les règles créées par les logiciels constituent la « loi » – une notion que de nombreux avocats contestent.
Mais c’est peut-être le pirate informatique qui a le plus d’impact sur l’agressivité des régulateurs pour superviser l’activité de DeFi, a déclaré Charlie Steele, ancien avocat du gouvernement américain et désormais partenaire de Forensic Risk Alliance, un cabinet de conseil en réglementation. « Je ne pense pas que les régulateurs seraient trop à l’aise de compter sur Robin Hoods pour surveiller le système. »