Fraude aux crypto-monnaies, gestion de la fraude et cybercriminalité

L’incident survient quelques jours seulement après le vol du réseau Poly

Dan Gunderman (dangun127) • 19 août 2021

Un pirate informatique a volé 97 millions de dollars de crypto-actifs à l’échange de crypto-monnaie basé au Japon Liquid, qui a annoncé la violation via Twitter tard mercredi et arrêt des dépôts et des retraits.

Voir également: Rapport sur les menaces de ransomware de l’Unité 42 de 2021

L’attaque survient quelques jours seulement après qu’un pirate informatique a volé 612 millions de dollars à la plate-forme de cryptographie Poly Network, qui a depuis régulièrement récupéré la plupart des fonds (voir : Poly Network Hacker aurait rendu la plupart des fonds volés).

Liquid, l’une des plus grandes plateformes d’échange de crypto-monnaie-fiat au monde, a déclaré le Twitter jeudi qu’il suivait le mouvement des avoirs volés et travaillait avec d’autres bourses pour geler et récupérer les fonds.

« Nous sommes désolés d’annoncer que les portefeuilles chauds #LiquidGlobal ont été compromis, nous transférons les actifs dans le portefeuille froid [or, offline] », a tweeté l’échange de crypto. « Nous enquêtons actuellement et fournirons des mises à jour régulières. En attendant, les dépôts et les retraits seront suspendus. »

Liquid a déclaré que le pirate avait transféré des fonds aux adresses suivantes, entre autres :

• Bitcoin : 1Fx1bhbCwp5LU2gHxfRNiSHi1QSHwZLf7q ;
• Jeton Web Ethereum/Energy : 0x5578840aae68682a9779623fa9e8714802b59946;
• TRON : TSpcue3bDfZNTP1CutrRrDxRPeEvWhuXbp;
• Ondulation: rfapBqj7rUkGju7oHTwBwhEyXgwkEM4yby.

Dans un article de blog de suivi, Liquid a déclaré avoir détecté pour la première fois l’accès non autorisé jeudi matin, heure locale, et confirmé que les actifs cryptographiques avaient été retirés des portefeuilles Liquid. Il note que 16 millions de dollars d’actifs Ethereum ont été gelés « grâce à l’aide de la communauté crypto et d’autres échanges ».

La société a déclaré qu’elle était toujours en train d’évaluer les composants techniques de l’attaque. « Au cours de cette période difficile, nous apprécions grandement le soutien de nos clients, d’autres échanges, d’experts en sécurité et de la communauté crypto au sens large », indique-t-il. « Liquid continuera à faire tout ce qui est en son pouvoir pour atténuer l’impact de cet incident et rétablir le service complet dès que possible. »

Portefeuille MPC ciblé

La société d’analyse de blockchain Elliptic, qui aide Liquid à suivre les fonds volés, a déterminé que les jetons siphonnés valaient près de 100 millions de dollars et affirme que 45 millions de dollars d’actifs Ethereum ont été convertis en Ether à l’aide d’échanges décentralisés – tels que Uniswap et SushiSwap – pour éviter le gel des actifs. .

Dans un autre article du blog Liquid, l’échange a déclaré que l’attaque visait un portefeuille de calcul multipartite, qui est une application cryptographique où les clés privées de contrôle des fonds sont générées par plusieurs parties, chacune étant incapable de voir les fragments calculés par d’autres.

« Le portefeuille MPC (utilisé pour la gestion de l’entreposage/de la livraison des actifs cryptographiques) utilisé par notre filiale singapourienne QUOINE PTE a été endommagé par le piratage. … Le portefeuille froid utilisé pour la gestion de la ségrégation est sûr », écrit la société. Le blog de Liquid n’a pas fourni de détails techniques.

La société n’a pas pu être jointe dans l’immédiat pour obtenir des informations supplémentaires sur l’incident.

Johnny Lyu, PDG de l’échange crypto KuCoin, a reconnu la violation dans un tweet mercredi soir, en disant: « Nous sommes au courant de l’incident de sécurité #LiquidGlobal, et les adresses du pirate ont été ajoutées à la liste noire de #KuCoin. J’espère que tout va bien. »

Mise à jour sur le vol de réseau Poly

L’attaque de Liquid cette semaine fait suite à un incident distinct affectant le protocole inter-chaînes Poly Network, qui impliquait le vol de 612 millions de dollars en crypto-monnaie par un pirate informatique qu’il a par la suite surnommé « M. White Hat » (voir : Poly Network dit que 600 millions de dollars de crypto-monnaie ont été volés).

À la suite de l’attaque, Poly Network a demandé l’aide d’autres échanges cryptographiques. Quelque 33 millions de dollars de stablecoin Tether ont été gelés à la suite de l’incident, et dans la journée, le pirate informatique a commencé à communiquer avec la plate-forme et a indiqué son désir de restituer les fonds.

Les experts en crypto-monnaie et en cybersécurité ont suggéré que le retour n’était peut-être pas aussi noble qu’il y paraît, affirmant que l’attaquant avait probablement eu du mal à blanchir les actifs.

À la fin de la semaine dernière, tous les fonds, à l’exception de 238 millions de dollars, avaient été restitués à la société, qui a continué à demander au pirate informatique une clé privée pour déverrouiller le portefeuille multisignature final contenant les fonds restants. Poly Network a ensuite offert à « M. White Hat » une « prime de bogue » de 500 000 $ en échange d’avoir apparemment exposé des faiblesses de sécurité critiques, mais le pirate a refusé la prime dans un message intégré à une transaction Ethereum.

Alors que Poly Network continuait d’exhorter le pirate à restituer tous les fonds, il lui a proposé un poste au sein de l’entreprise en tant que « conseiller en chef de la sécurité ».

Jeudi, le voleur de crypto a rendu environ 427 millions de dollars, soit plus des deux tiers, des actifs volés, a déclaré Poly Network à Information Security Media Group.

« Il reste encore un long chemin à parcourir avant que le contrôle total des actifs ne revienne aux utilisateurs », a déclaré Poly Network dans un communiqué.

La plate-forme confirme que bien qu’elle n’ait pas reçu de « réponse positive », elle a payé la « prime » de 500 000 $ au cybercriminel. « J’espère que ces fonds pourront être utilisés à l’avenir pour inspirer davantage d’experts en sécurité à contribuer à la sécurité de la blockchain », dit-il.

Signe des choses à venir ?

James McQuiggan, directeur de l’éducation pour la Florida Cyber ​​Alliance et défenseur de la sensibilisation à la sécurité pour la société de sécurité KnowBe4, prévient que des violations similaires sont inévitables. « Malheureusement, avec un autre échange de crypto-monnaie attaqué avec succès, cela ne peut être qu’un signe de choses à l’horizon pour ces échanges », dit-il.

Karl Steinkamp, ​​directeur des offres de l’industrie des cartes de paiement pour la société de sécurité Coalfire, a déclaré que la violation de l’échange de crypto-monnaies Liquid « est un revers malheureux pour l’entreprise. On ne sait pas encore si le ou les attaquants prévoient de restituer les fonds. Le réseau a également eu une violation de données d’actifs non crypto il y a moins d’un an… [which] parle du récit plus large selon lequel les entreprises d’innovation doivent continuer à renforcer la sécurité par défaut dans leurs produits.

« Les entreprises prennent rapidement conscience de la réalité qu’elles doivent équilibrer vitesse et sécurité ou risquent de ne pas être en activité. La réglementation et l’exigence de conformité des échanges d’actifs cryptographiques et des tiers qui opèrent dans l’univers cryptographique feront probablement partie de la solution. … [However, these efforts] doivent être soigneusement pensés… pour ne pas étouffer l’innovation. »