DeFi : Ce que l’on a appris du hack de Poly Network

sam 15 Jan 2022 ▪ 8h00 ▪ 7 min de lecture - par Mikaia Andriamahazoarimanana

De bonnes et mauvaises nouvelles se sont enchainées dans la cryptosphère, cédant la place à un dynamisme presque indescriptible. Mais l’évènement du 10 août 2021 a produit une telle onde de choc que les crypto-believers ne risqueront pas de l’oublier de sitôt. Ce n’est autre que le hack de Poly Network qui a occasionné une perte de plus de 600 millions de dollars.

Le hack de Poly Network en quelques points

Poly Network est une plateforme cross-chain basée en Chine. Elle propose un grand nombre d’interactions et des offres de type :

– accès à un wallet séparé pour plusieurs projets blockchain pris en compte comme NEO, Bitcoin et Ethereum ;

– accès à des smart contracts favorisant les échanges de tokens natifs des plateformes susmentionnées, voire plus ;

– mise à disposition de la plateforme Poly Network sur laquelle sont développés ces smart contracts.

Pour ce qui est du piratage en lui-même, le hacker s’est attaqué à un smart contract sur Poly Network le 10 août 2021. Après le succès de sa tentative, celui-ci a commencé à transférer les tokens du site de DeFi vers un exchange décentralisé anonyme.

612 millions de dollars, c’est l’équivalent en cryptomonnaie du montant prélevé par Mr White Hat. Les devises concernées étaient le NEO, l’ETH et l’USDT.

Quid des réactions ?

Les actions ont fusé de partout après la confirmation de l’attaque.

Du côté de Poly Network

D’abord, l’administration de Poly Network a demandé aux projets concernés de mettre sur liste noire les fonds piratés. L’appel a été entendu par Tether qui a tout de suite gelé 33 millions de dollars d’USDT.

Parallèlement, les dirigeants de la plateforme chinoise sont entrés directement en contact avec le hacker en vue d’une éventuelle restitution des fonds. En retour, ils lui ont proposé le post de « Chief Security Officer » étant donné que l’équipe tout entière n’a pas pu corriger la faille dans la sécurité de Poly Network.

Du côté de Mr White Hat

Certaines maladresses de la part des investisseurs et des barons de Poly Network étaient mal vues par le hacker. En guise de réaction, il leur a donc adressé un long message :

« Vous ne me connaissez pas. L’argent signifie peu pour moi, certaines personnes sont payées pour pirater, je préfère payer pour le plaisir. J’envisage de prendre la prime comme un bonus pour les hackers publics s’ils peuvent pirater le réseau Poly (ils peuvent gagner le double s’ils estiment que le plan actuel est maladroit). Si Poly ne donne pas la prime imaginaire, comme tout le monde s’y attend, j’ai bien assez de budget pour laisser le spectacle se poursuivre. Ce ne sont que des pensées amusantes, mais je pourrais probablement les réaliser. Si vous êtes toujours confus, demandez à des amis plus riches que vous à quoi sert l’argent. Je fais confiance à une partie de leur code, je loue la conception générale du projet, mais je ne fais certainement pas confiance à l’ensemble de l’équipe Poly. Ma seule culpabilité a été déclenchée par les réfugiés. Toutes mes actions étaient déterminées puisque j’ai pris la décision finale d’être éternel. Je suis un peu surpris que vous les appeliez des négociateurs professionnels, il suffit de les regarder parler de manière tendue et répétitive. Si Poly avait vraiment compris mon idée initiale, ils seraient moins gênés. J’ai publié leur demande pour qu’ils aient la chance d’être gagnants. À votre avis, qui domine le jeu ? ».

Bref, le pirate savait très bien qu’il avait nettement devancé les chasseurs qui étaient à ses trousses.

Et pourtant, il a affirmé avoir regretté son geste et être désolé par la détresse de ses victimes. Ainsi, après quelques réticences, il a décidé de restituer des fonds dérobés sur des wallets mis en place par Poly Network. À condition, bien sûr de lever l’embargo sur les 30 millions de dollars d’USDT gelés par Tether.

Ce geste lui a valu une prime d’un demi-million de dollars et la promesse de l’abandon des poursuites judiciaires à son encontre. D’ailleurs, l’argent reçu a fait l’objet d’une redistribution auprès des commerçants concernés par le hacking.

Poly Network

Quid des leçons retenues ?

Les enquêtes menées concernant cette attaque ont mis en exergue une brèche dans le fonctionnement de deux contrats Poly étroitement liés, EthCrossChainManager et EthCrossChainData.

Le premier contrat arborait une certaine limite d’accès aux propriétaires. Pourtant, en arrivant au cœur d’EthCrossChainManager, le pirate a pu substituer la clé garantissant la sécurité du protocole par la sienne. Les transactions inter-chain entre ledit réseau et Ethereum lui ont, en effet, permis le prélèvement de fonds vers plusieurs wallets.

Le second contrat, régi par l’EthCrossChainManager, autorise de hauts privilèges à ses usagers. Pour le pirater, Mr White Hat a dû user du même procédé de remplacement de clé. Cela lui a conféré le statut de gardien pour plusieurs wallets, dont Binance, Tether, Ethereum et Neo. Et corolairement, il a pu canaliser les gains vers un wallet secret lui appartenant.

En guise de conclusion, Kevin Fitcher, un programmeur travaillant pour le compte d’Ethereum, a pointé du doigt la vulnérabilité occasionnée par ce combo EthCrossChainManager-EthCrosDomainData. Il a proposé par la suite d’éviter d’utiliser des contrats relais inter-chain pour la manipulation de contrats spéciaux.

Un autre point à retenir : contre toute attente, la blockchain n’a pas un niveau de sécurité très élevé. Les failles restent identiques à celles connues lors des transactions du monde réel. Ainsi, l’ajout de couches de sécurité supplémentaires s’impose en vue d’y remédier.

D’ailleurs, l’existence de toute une série d’actes de piratage ayant fait beaucoup de victimes chez Coincheck, Mt. Gox, Bitfinex ou encore Africrypt confirme cette corruptibilité.

Heureusement que Mr White Hat avait d’autres buts que d’amasser de l’argent, aussi énorme que soit le pactole saisi chez Poly Network.

En guise de conclusion, nous dirons que les transactions ne bénéficient pas du codage requis pour une optimisation de leur sécurité. Les acteurs divers sont conviés à se concerter pour faire en sorte que de tels événements ne se reproduisent plus dans le futur. Gouvernement, investisseurs, programmeurs… et aussi les parties prenantes sont priées de prioriser cette question de sécurité pour mieux avancer dans ce sens.

Source : Coinmarketcap

Recevez un condensé de l’actualité dans le monde des cryptomonnaies en vous abonnant à notre nouveau service de newsletter quotidienne et hebdomadaire pour ne rien manquer de l’essentiel Cointribune !

A
A
Mikaia Andriamahazoarimanana

La révolution blockchain et crypto est en marche ! Et le jour où les impacts se feront ressentir sur l’économie la plus vulnérable de ce Monde, contre toute espérance, je dirai que j’y étais pour quelque chose

DISCLAIMER

Les propos et opinions exprimés dans cet article n'engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d'investissement.

Cours & Indices

BITCOIN (BTCUSD) 41 723,35 $ -1.26%
ETHEREUM (ETHUSD) Ξ 3 142,03 $ -2.15%
DEFI (DEFIPERP) 8 876,50 $ -2.1%
MARKETS (ACWI) 103,35 $ -1.07%
GOLD (XAUUSD) 1 815,84 $ -0.17%
TECH (NDX) 15 434,51 $ -1.13%
CURRENCIES (EURUSD) 1,14 $ -0.39%
CURRENCIES (EURGBP) 0,836260 £ 0.1%
CRUDEOIL (USOIL) 85,03 $ 0.89%
IMM. US (REIT) 2 764,98 $ -1.26%
Le pourcentage exprime l’évolution depuis 24h Acheter des cryptos sans risques
Newsletter

Recevez le meilleur de l’actualité Crypto dans votre boite email