Un hacker est parvenu à voler l’équivalent de plus de 7 millions de dollars en profitant d’une faille de sécurité de la plateforme DAO Maker.
Un pirate a profité aujourd’hui d’une faille de sécurité pour s’en prendre à DAO Maker, une plateforme de crowdfunding visant à faciliter le financement de startups.
Il est parvenu à dérober des USDCs , puis à les remplacer contre des ETH. Il a ainsi pu mettre la main sur 2 261 ETH, soit plus de 7 millions de dollars.
Mais pourquoi avoir transféré des ETH contre des USDC ? Les stablecoins USDC peuvent être à tout moment gelés par Circle, la société émettrice. Il faut savoir que Tether jouit du même pouvoir : l’entreprise a d’ailleurs décidé cette semaine de geler 35 millions d’USDTs obtenus frauduleusement, peu de temps après le piratage du réseau Poly Network.
Entre 9 000 et 10 000 comptes USDC liés à DAO Maker seraient affectés par ce piratage.
« Les 900$ que j’ai placés dans DAO Maker ont complètement disparu. »
« Nous voulons rassurer nos investisseurs et nos supporters »
Il explique qu’à environ 13h, un pirate est parvenu à prendre le contrôle de l’un des portefeuilles de DAO Maker.
« Le cybercriminel, après avoir tenté de profiter de ce bug et être parvenu à dérober 10 000 USDC, a pu ensuite procéder à 15 transactions supplémentaires. De cette manière, il est arrivé à obtenir environ 7 millions de dollars », explique le dirigeant.
« Notre équipe de sécurité est parvenue à tracer, contenir et mettre un terme au drainage de fonds. Au total, 5 251 utilisateurs ont été affectés, pour une perte moyenne de 1 250 dollars par utilisateur. Les utilisateurs détenant moins de 900 dollars n’ont pas été affectés ».
Le PDG de DAO Maker précise ensuite que les développeurs ont décidé de transférer les fonds non affectés par ce piratage dans un nouveau portefeuille. Les utilisateurs concernés peuvent à tout moment retirer leur argent.
« Nous voulons rassurer nos investisseurs et nos supporters. Nos coffres-forts sont sécurisés et le piratage n’a pas eu d’impact sur notre activité. Personne, pas même nous, ne peut mettre à jour le code ou retirer une DAO de nos coffres-forts. En tant que PDG, j’estime qu’il s’est toujours agi de l’un des principes clés de DAO Maker », ajoute M. Zaknun.
Deux attaques en deux jours
Mais les failles de sécurité semblent constituer un problème récurrent dans cet écosystème naissant, alors que l’on a pu assister à deux piratages en l’espace de seulement deux jours.
Ce mardi, un hacker est parvenu à dérober l’équivalent de 610 millions de dollars de cryptomonnaies en exploitant un bug découvert sur la plateforme « cross-chain » Poly Network. Il a toutefois depuis décidé de rendre pour 258 millions de dollars d’actifs numériques. Même s’il a affirmé plusieurs fois qu’il comptait le faire, il est toujours difficile de savoir s’il va vraiment retourner les crypto-actifs restants.