La cryptomonnaie est la cible idéale pour les cybercriminels : elle peut être volée de diverses façons et récupérer les fonds est presque mission impossible pour les victimes. Certains cybercriminels gagnent une véritable fortune grâce aux attaques qui visent les échanges de cryptomonnaie : des dizaines voire des centaines de millions de dollars. Cet article analyse les 5 vols les plus importants au cours de l’histoire relativement récente des cryptomonnaies. Nous vous avons laissé un bonus à la fin : l’histoire incroyable d’un vol de cryptomonnaies digne d’un film sur Netflix…
5. La clé Skeleton
Victime : Plateforme d’échange de cryptomonnaies KuCoin
Date : 26 septembre 2020
Perte : environ 285 millions de dollars
Dans la nuit du 25 au 26 septembre, les agents de sécurité de l’entreprise KuCoin basée à Singapour ont détecté plusieurs transactions anormales dans des hot wallets. Pour mettre fin à ces transactions douteuses, ils ont transféré tous les actifs restants des portefeuilles compromis à un lieu de stockage hors-ligne (cold wallet). L’indicent a duré près de deux heures, du moment où il a été détecté à sa résolution. Pendant ce temps, les cybercriminels ont pu retirer près de 285 millions de dollars en plusieurs cryptomonnaies.
L’enquête a révélé que les cybercriminels avaient eu accès aux clés privées des hot wallets. Lazarus Group, un cyber-gang d’APT de Corée du Nord, était le principal suspect. Cela a été possible parce que les escrocs ont utilisé un algorithme à plusieurs étapes pour blanchir les fonds, tout comme le groupe Lazarus l’a fait pour d’autres attaques. Ils passent d’abord la même somme de crypto par un mixeur de cryptomonnaie (un outil qui mélange les différents fonds en cryptomonnaie afin de brouiller les pistes) puis transfèrent la cryptomonnaie en utilisant des plateformes décentralisées.
Malgré son ampleur, cet incident n’a pas été la fin des échanges de cryptomonnaies. Le lendemain après le vol, le PDG de KuCoin, Johnny Lyu, a promis lors d’un streaming en direct qu’il allait rembourser les fonds volés. Lyu a tenu sa promesse et en novembre 2020 il a publié un tweet qui annonçait que 84 % des actifs affectés avaient été rendus à leurs propriétaires. Les 16 % restants ont été pris en charge par l’assurance de KuCoin.
4. De l’argent tombé du ciel
Victime : Pont de transfert entre blockchains Wormhole
Date : 2 février 2022
Perte : 334 millions de dollars
L’histoire suivante de notre top 5 est celle d’un vol qui s’est servi d’une vulnérabilité de Wormhole, un protocole de pont qui permet de transférer des actifs entre différentes blockchains. Les cybercriminels ont été avantagés puisque les développeurs de la plateforme avaient rendu le code de programmation public. Mais reprenons depuis le début…
Wormhole est un outil qui sert de médiateur entre les transactions de cryptomonnaie. Ainsi, il permet aux utilisateurs de déplacer les tokens entre les réseaux Ethereum et Solana. Techniquement parlant, l’échange fonctionne de cette façon : les tokens de la première chaîne sont gelés pendant que des » wrapped tokens » de la même valeur sont émis dans l’autre chaîne.
Wormhole est un projet open-source qui a son propre répertoire sur GitHub. Peu de temps avant le vol, les développeurs y ont placé le code afin de corriger une vulnérabilité du protocole. Les cybercriminels en ont profité pour exploiter la vulnérabilité avant que les modifications ne soient appliquées.
Ce bug leur a permis de contourner la vérification des transactions du côté de Solana et d’émettre 120 000 » ETH wrappés » (environ 334 millions de dollars au moment de l’attaque) sans avoir à geler le montant équivalent sur la blockchain d’Ethereum. Les cybercriminels ont transféré les deux tiers du montant vers un portefeuille Ethereum et ont utilisé le reste de la somme pour acheter d’autres tokens.
Wormhole a publiquement demandé aux cybercriminels de rendre les fonds volés et a détaillé l’exploit en promettant une récompense de 10 millions de dollars. Les cybercriminels ont ignoré cette offre généreuse.
Le lendemain après le vol, Wormhole a publié sur Twitter afin d’indiquer que tous les fonds avaient été récupérés et que le pont était opérationnel. Jump Trading a comblé le trou financier ; l’entreprise avait acheté le développeur Wormhole six mois avant l’incident. À en juger par les informations en open-source, les personnes à l’origine de cette attaque n’ont toujours pas été identifiées.
3. Un vol qui a duré trois ans
Victime : Plateforme d’échange de cryptomonnaies Mt.Gox
Date : février 2014
Perte : 480 millions de dollars
L’histoire de Mt-Gox remonte à 2007, lorsque c’était une plateforme qui permettait d’échanger les cartes du jeu Magic : L’Assemblée. Trois ans plus tard, en plein succès grandissant des cryptomonnaies, le propriétaire du site, le programmeur américain Jed McCaleb, a décidé de la transformer en plateforme d’échange de cryptomonnaies, puis a vendu le service au développeur français Mark Karpelès en 2011. Deux ans plus tard, Mt.Gox représentait près de 70 % des échanges de l’univers Bitcoin.
Cette augmentation rapide a été suivie d’une chute fatale. Le 7 février 2014, l’échange a soudainement bloqué tous les retraits de Bitcoin. L’entreprise a expliqué que c’était dû à des problèmes techniques. Les clients outrés se sont rassemblés devant le siège de Mt.Gox à Tokyo et ont demandé que leur argent leur soit rendu. Leur requête est tombée dans l’oreille d’un sourd.
Le plus remarquable dans cette histoire est que le vol de Mt.Gox a débuté en 2011. À cette époque, des cybercriminels inconnus ont obtenu les clés privée d’un hot wallet sur la plateforme et l’ont vidé petit-à-petit. En 2013, les cybercriminels avaient 630 000 BTC sur leurs comptes.
Mt.Gox à définitivement arrêter les échanges le 28 février 2014 lorsque Karpelès a déclaré que l’entreprise était en faillite et s’est excusé pour les faiblesses du système qui ont permis aux escrocs de voler près de 750 000 BTC aux clients et 100 000 BTC des fonds de l’entreprise. On estime que près de 480 millions de dollars ont été volés, ce qui correspond à la valeur de tous les jetons volés au taux de change la veille de l’annonce de la faillite, le 27 février.
Il convient toutefois de souligner qu’après que Mt.Gox a cessé les échanges et avant que l’entreprise ne soit en faillite, le prix du Bitcoin avait lourdement chuté. Si nous prenons comme référence le taux de change du 6 février (la veille de la fermeture réelle de la plateforme), les pertes s’élèveraient à près de 660 millions de dollars. Pourtant, ces deux chiffres sont indécis : ils ne prennent pas en compte que le vol a duré pendant trois ans et qu’au cours de cette période le taux de change a subi d’importantes fluctuations. Il est difficile de calculer le montant exact des dégâts.
Comment cette attaque était-elle possible ? Selon les anciens employés, l’entreprise ne gérait pas bien les problèmes importants. Par exemple, Mt.Gox avait de graves problèmes avec les rapports financiers. De plus, un véritable audit de qualité et de sécurité du code n’avait jamais été effectué. Ainsi, il n’y avait aucune version du système de contrôle.
Les procureurs ont poursuivi le propriétaire de Mt.Gox, Karpelès, en justice pour détournement d’une valeur de 3 millions de dollars des fonds des clients. Ils n’ont pourtant pas réussi à le prouver au tribunal. Finalement, Karpelès n’a reçu qu’une condamnation avec sursis de deux ans et six mois pour manipulation des données et a été acquittés des autres charges.
2. Près d’un demi-milliard
Victime : Plateforme d’échange de cryptomonnaies Coincheck
Date : 26 janvier, 2018
Perte : 496 millions de dollars
Coincheck est une des plateformes d’échange de cryptomonnaies les plus importantes au Japon. En 2018, les cybercriminels ont réussi à voler plus de 500 millions de tokens NEM qui avaient une valeur similaire en dollars.
L’entreprise avait déclaré que son système de sécurité était robuste et n’avait pas expliqué précisément comment les intrus avaient réalisé l’attaque. Cela étant dit, certains experts pensent que les cybercriminels avaient eu accès aux clés privées de hot wallets de Coincheck grâce à un programme malveillant intégré dans l’ordinateur d’un des bureaux de l’entreprise.
Les cybercriminels avaient aussi créé un site qui vendait les tokens NEM pour des Bitcoin ou d’autres cryptomonnaies avec une réduction de 15 %. Par conséquent, le taux de change de NEM a chuté de façon significative et Coincheck a perdu près de 500 millions de dollars, ce qui n’a pas entraîné la fermeture de la plateforme. De plus, les criminels ne pouvaient pas être suivis. La plateforme a dû suspendre toutes les opérations pendant un certain temps et a promis aux clients qu’ils recevraient une indemnisation qui viendrait des fonds de l’entreprise.
1. Une offre d’emploi avec une surprise
Victime : La plateforme de blockchain Ronin Network
Date : 3 mars 2022
Perte : 540 millions de dollars
La plateforme Ronin Network a spécialement été créée par Sky Mavis pour le jeu Axie Infinity, afin que les joueurs puissent acheter la monnaie du jeu, Smooth Love Potion (SLP). Fin mars 2022, des cybercriminels inconnus ont volé la somme record de 540 millions de dollars en cryptomonnaie à Ronin. Ils été aidés par un logiciel espion et la magie de l’ingénierie sociale.
L’attaque ciblée visait les employés de Sky Mavis, et il semblerait qu’un ait mordu à l’hameçon (sûrement sur LinkedIn). Après avoir passé un » processus de sélection « , un des ingénieurs supérieurs a reçu une » offre d’emploi » sous la forme d’un fichier PDF qui contenait un logiciel espion. Cela a permis aux voleurs de prendre le contrôle de quatre des clés privées de validation du réseau.
Afin d’avoir accès aux actifs de l’entreprise, les escrocs devaient compromettre au moins cinq des neuf outils de validation. Comme nous l’avons dit, le logiciel espion leur a permis d’en obtenir quatre. Ils ont obtenu le cinquième à cause d’une erreur de l’entreprise, qui avait autorisé Axie DAO (organisation autonome décentralisée) à signer les transactions afin d’aider Ronin Network à réduire le volume utilisateur, puis a oublié de retirer l’autorisation.
Pourtant, Sky Mavis a rapidement résolu l’incident. L’entreprise a relancé la plateforme de blockchain en juin 2022 et a commencé à indemniser les joueurs affectés.
Bonus. Un piratage avec un remboursement
Cible : Protocole Poly Network
Date : 10 août 2021
Perte (récupérée par la suite): 610 millions de dollars
Comme histoire bonus, finissons avec un vol colossal de cryptomonnaie, qui a fini avec le remboursement de chaque centime. Voyons ce qui s’est passé…
Poly Network est un autre protocole qui permet l’interopérabilité de la blockchain. Le vol de cryptomonnaies le plus histoire de l’histoire a eu lieu lors de l’été 2021. Un cybercriminel anonyme a exploité une vulnérabilité de Poly Network et a volé plus de 600 millions de dollars en diverses cryptomonnaies.
Poly Network a demandé sur Twitter à la personne à l’origine de l’attaque de rendre les tokens volés. Tout le monde a été surpris de voir que le cybercriminel a contacté l’entreprise et a accepté. Le voleur a effectué le transfert des tokens volés bit après bit et les a divisés en plusieurs parties inégales.
L’échange en ligne entre le cybercriminel et Poly Network a duré un certain temps. Au cours de cette période, l’escroc a expliqué que l’argent ne l’intéressait pas et qu’il avait fait ce vol pour des « raisons idéologiques ». Pour le remercier, Poly Network a retiré sa plainte, a garanti son anonymat, lui a donné une récompense de 500 000 dollars et lui a proposé de devenir son consultant principal en sécurité. L’entreprise a aussi mis en place un programme bug-bounty de 500 000 dollars.
Ces histoires n’ont pas vraiment de morale mais…
Nous avons parlé de cinq des meilleurs vols de cryptomonnaies, et tous avaient pris pour cible de grandes entreprises. Évidemment, d’autres incidents mineurs ne cessent d’affecter les utilisateurs ordinaires. Ainsi, chaque investisseur doit prendre quelques précautions pour sécuriser ses actifs. Voici quelques conseils pratiques :
- Choisissez minutieusement les plateformes pour vos échanges ou pour réaliser d’autres opérations. Lisez les avis et les commentaires et, si possible, parlez avec des utilisateurs expérimentés en qui vous avez confiance.
- Ne partagez pas les identifiants de connexion de votre compte, qu’il s’agisse de votre portefeuille ou de la plateforme d’échange. N’oubliez pas de ne jamais révéler vos mots de passe et vos clés privées, ainsi que votre phrase secrète.
- Conservez vos principales économies en cryptomonnaie dans des cols wallets. Contrairement aux hot wallets, ils n’ont pas besoin d’être toujours connectés et sont plus sécurisés.
- Si vous utilisez un hot wallet, vérifiez que vous avez activé l’authentification à deux facteurs.
- Faites attention à l’hameçonnage. Lisez cet article pour savoir comment détecter les personnes qui cherchent à voler votre cryptomonnaie.
- Installez une solution de sécurité fiable qui protège vos transactions financières, empêche les programmes malveillants de voler le mot de passe de votre portefeuille ou votre clé secrète, et vous avertit lorsqu’un site est frauduleux.