Le monde des cryptomonnaies vient de subir un nouveau piratage. Grâce à une brèche d’un service populaire sur Ethereum, les pirates ont dérobé 160 millions de dollars. De nombreux investisseurs seraient en danger.
Wintermute, un “market maker” ou animateur de marché des cryptomonnaies, a été victime d’un piratage de grande ampleur. Dans un message publié sur Twitter ce 20 septembre 2022, Evgeny Gaevoy, PDG de l’entreprise londonienne, a annoncé la disparition de 160 millions de dollars de crypto-actifs.
Le responsable précise que le hack n’a affecté que les opérations relatives à la finance décentralisée. Les opérations de la finance traditionnelle et OTC (Over The Counter, de “gré à gré”) ne sont pas concernées. Il précise par ailleurs que Wintermute reste solvable. La firme s’engage à reprendre ses activités normalement dans les prochains jours. Wintermute souligne que le reste des fonds en sa possession sont en sécurité.
Wintermute est un des principaux teneurs de marché de l’industrie. La firme est chargée de fournir des liquidités aux plates-formes d’échange, décentralisées ou centralisées, comme Binance ou Coinbase. La société britannique collabore actuellement avec une cinquantaine de grands noms de l’industrie. Récemment, Wintermute est même devenu le teneur de marché officiel de l’écosystème TRON.
Au terme de l’attaque, les pirates ont transféré une partie des fonds (47,7 millions de dollars) sur un wallet numérique. Le reste des avoirs volés ont été envoyés sur Curve Finance, un important protocole de la finance décentralisée. La plate-forme, basée sur la blockchain Ethereum, propose aux détenteurs de stablecoins de fournir des liquidités pour recevoir des revenus.
Une faille d’un générateur d’adresses Ethereum
Quelques heures après les faits, Wintermute est revenu sur les circonstances de l’attaque. D’après Evgeny Gaevoy, les hackers ont exploité une faille de sécurité de Profanity, un générateur d’adresses sur la blockchain Ethereum. L’outil permet aux utilisateurs de personnaliser leur adresse publique en choisissant un préfixe ou un suffixe défini. Ces adresses personnalisées sont intitulées « vanity adresses ». Généralement, les adresses sur la chaîne de blocs sont plutôt générées aléatoirement sur base de la clé privée.
La brèche a été identifiée quelques jours avant l’attaque par 1inch, une autre plate-forme d’échange décentralisée qui s’appuie sur Ethereum. Les équipes de 1inch ont découvert une vulnérabilité dans le processus de génération d’une adresse personnalisée. En exploitant la faille, il est possible de trouver la clé privée, l’équivalent d’un mot de passe ou d’un code d’accès, de l’adresse d’un portefeuille numérique. De facto, un attaquant peut prendre le contrôle des fonds stockés sur un wallet à l’insu de son propriétaire.
Les chercheurs de 1inch expliquent avoir pu “deviner” les clés privées d’une série d’adresses grâce à une simple attaque par force brute. L’attaque a été menée grâce à la puissance de calcul d’une carte graphique. C’est exactement ce qui se serait passé lors de l’attaque de Wintermute.
Apparemment, l’animateur de marché a « utilisé Profanity et un outil interne pour générer des adresses ». Les dernières adresses personnalisées datent du mois de juin 2022. Quand les équipes de Wintermute ont entendu parler de la découverte de 1inch, ils ont accéléré le retrait des adresses Profanity pour passer à un script de génération plus sécurisé.
Malheureusement, une erreur humaine a provoqué une faille dans le processus. Bien que les fonds aient été déplacés vers une adresse plus sécurisée, l’ancienne adresse disposait toujours des autorisations permettant de signer des contrats intelligents.
« Aussi avancées que soient nos technologies, la plupart des failles proviennent d’erreurs humaines », explique Evgeny Gaevoy.
Des adresses Ethereum à la merci des pirates
D’après l’expert en sécurité informatique ZachXBT, la vulnérabilité a été exploitée avant le hack de Wintermute. La faille aurait permis de détourner plus de 3,3 millions de dollars ce 16 septembre 2022. Plusieurs adresses ont été siphonnées. Les fonds ont été versés sur un wallet détenu par un pirate inconnu. De son côté, 1inch affirme que de nombreuses adresses, générées par Profanity, ont été piratées de cette manière. Des centaines de millions de dollars seraient actuellement en danger.
« Votre argent n’est pas en sécurité si l’adresse de votre portefeuille a été générée avec l’outil Profanity. Transférez tous vos actifs dans un autre portefeuille dès que possible ! », recommande 1inch.
Tal Be’ery, un autre expert en cybersécurité, estime que 1inch a indirectement obligé les pirates à lancer leur attaque. Sur Twitter, le chercheur pense que « les attaquants essayaient de trouver autant de clés privées que possible » quand 1inch a publié son rapport. Dans l’urgence, les hackers se sont alors empressés de récolter des cryptomonnaies stockées sur les wallets déjà compromis.
Avant l’attaque de Wintermute, johguse, le développeur à l’origine de Profanity, avait déjà déconseillé aux internautes de se servir de l’outil open source. Sur Github, il précise que le projet « a été abandonné il y a quelques années ». Aucune mise à jour ne viendra combler la faille repérée par 1inch. johguse conseille d’utiliser une autre solution pour générer des adresses personnalisées.
Notez que cette faille n’est pas liée au fonctionnement de la blockchain Ethereum. Bien que des adresses ETH soient en danger, la vulnérabilité a été introduite par une solution tierce. La récente mise à jour de l’Ethereum, et le passage vers la Proof of Stake, n’ont rien à voir avec le piratage de Wintermute.
Pour récupérer les fonds volés lors du hack, Evgeny Gaevoy a proposé une prime de 10 % aux pirates. Si les fonds dérobés sont rendus, Wintermute offrira l’équivalent de 16 millions de dollars en cryptomonnaies. Le PDG précise que la société ne licenciera aucun employé, ne changera pas sa stratégie, ne collectera pas de fonds supplémentaires et n’arrêtera pas ses activités liées à la finance décentralisée. Malgré ce revers, la firme reste fidèle à sa feuille de route.
Un énième piratage de la finance décentralisée
C’est loin d’être le premier hack ayant marqué l’écosystème crypto. Le mois dernier, Cbridge, le pont (bridge) de Celer Network, a été piraté. Les attaquants sont repartis avec 240 000 dollars. Citons aussi le piratage de Nomad, qui s’est soldé par le vol de 190 millions de dollars, de Ronin (624 millions de dollars), de Poly Network (611 millions de dollars) et de Wormhole (326 millions de dollars).
D’après une étude de Chainalysis, spécialiste de l’analyse des blockchains, les piratages ont augmenté de 60 % entre janvier et juillet 2022 par rapport à la même période en 2021. En exploitant des failles, les criminels se sont emparés de 1,9 milliard de dollars en crypto-actifs en six mois.
source : 01net