C’est officiel : la plateforme d’échange tokyoïte Coincheck a été victime d’un piratage après s’être faite dérober l’équivalent de 530 millions de dollars. Il s’agit du plus grand vol de l’histoire dont a été victime un site d’échange de crypto-monnaies, devant celui subi par le site Mt. Gox.
Le plus grand piratage d’une plateforme d’échange de monnaies numériques
Lors d’une conférence de presse qui a été tenue hier, les dirigeants de Coincheck ont confirmé qu’un pirate avait dérobé plus de 500 millions de XEM, soit environ 530 millions de dollars lors du hack. Toutefois, d’après le journal Nikkei Veritas, qui a tweeté depuis la conférence, le montant exact des fonds dérobés ne sera pas connu avant que les autorités n’aient conduit une enquête minutieuse.
Le piratage de Coincheck dépasse ainsi celui de Mt. Gox, qui constituait jusqu’ici le plus grand vol enregistré par une plateforme d’échange de crypto-monnaies. Le site du français Mark Karpelès s’était fait dérober 850 000 Bitcoins – soit l’équivalent, à l’époque, de 450 millions de dollars.
Lors de la rédaction de cet article, le pirate était parvenu à transférer 300 000 XEM (la crypto-monnaie du réseau NEM) vers une autre adresse. Les deux adresses en question ont été signalées afin que les autres plateformes d’échange puissent être en mesure de refuser les fonds qui leur seraient envoyés.
Le pirate ne serait parvenu à accéder qu’au wallet NEM de la plateforme
Les dirigeants de Coincheck ont affirmé hier que seul le wallet NEM de la plateforme avait été victime d’un piratage – et que les autres fonds restaient en sécurité.
Main takeaways from Coincheck press conf :
– only NEM impacted
– plans to continue operating, restart trading
– not clear on plan to repay customers
– no multisig ?
– wouldn’t admit security was weak
– not sure how hacked, if domestic or foreign hackers
– CEO barely spoke— Yuji Nakamura (@ynakamura56) 26 janvier 2018
Ceci a soulagé de nombreux traders, alors que certaines rumeurs laissaient penser que le pirate aurait pu s’infiltrer dans d’autres wallets.
Ainsi, sur Twitter, un « monitor » Ripple avait aperçu une transaction de 110 millions de dollars, en XRP, envoyés à partir d’un wallet appartenant à Coincheck vers un autre wallet inconnu – un wallet qui détient désormais 3 milliards de dollars de XRP.
110 mil usd in #Ripple (XRP) were sent from the Japanese cryptocurrency exchange Coincheck to an unknown address. Hacking suspected. https://t.co/hmGhlSmJEH
— Costin Raiu (@craiu) 26 janvier 2018
Les observateurs qui ont évoqué ce transfert semblent toutefois penser qu’il serait lié à une simple mesure de sécurité initiée par Coincheck.
On notera que les dirigeants de la NEM Foundation ont bien insisté sur le fait que le piratage n’avait strictement rien à voir avec la sécurité liée à la crypto-monnaies XEM, et que Coincheck était seule responsable des pertes qu’elle a pu subir.
Coincheck avait conservé la majeure partie des XEM dans des « Hot Wallets »
Lors de la conférence de presse d’hier, les dirigeants de Coincheck ont admis qu’ils conservaient la majorité des fonds dans des « hot wallets » – ce qui pouvait rendre les coins stockés vulnérables si des pirates parvenaient à infiltrer les serveurs de la société.
Comme l’ont indiqué les fondateurs de plusieurs plateformes d’échange (Gemini, Coinbase,…), ceux-ci décident de conserver la majorité des fonds de leurs clients dans des « cold wallets », qui sont stockés « hors ligne ». Ces coins se retrouvent ainsi hors de portée des pirates informatiques, dans des lieux sécurisés.
- À lire également : « Les jumeaux Winklevoss prennent très au sérieux la question de la sécurité »
Pourtant, Coincheck a indiqué qu’il leur « était difficile de gérer des cold wallets ». Et il s’agit d’une décision très dommageable : l’ampleur de ce hack aurait pu être nettement minimisée si la plateforme n’avait conservé qu’une petite partie de ses XEM sur un « hot wallet ».
Pour couronner le tout, Coincheck n’a pas mis en place le système de « smart contract » multi-signatures offert par NEM, qui aurait permis à son wallet de profiter d’une couche de sécurité supplémentaire.
Pas de fork prévu du côté de NEM
Comme ce piratage porte sur une part importante du nombre total de XEM en circulation, NEM aurait pu décider de mettre en place un hard fork. Celui-ci aurait pu lui permettre d” »annuler » ce vol – de manière analogue à ce qu’avait décidé de faire Ethereum après le hack de TheDAO, en 2016.
Mais Lon Wong, le président de la NEM Foundation, ne semble pas l’entendre de cette oreille :
Dans un communiqué, il a insisté sur le fait que le piratage de Coincheck était lié aux « faibles » mesures de sécurité prises par la plateforme, et qu’il n’avait pas été facilité par une une faille inhérente au code source de NEM. M. Wong en a profité pour inviter les plateformes d’échange de monnaies numériques à tirer profit des smart contracts multi-signatures.
Coincheck souhaite poursuivre ses opérations – et la société compte rembourser les clients lésés
Les dirigeants de Coincheck ont indiqué qu’ils prévoyaient de poursuivre l’exploitation de la plateforme, et qu’ils comptaient rembourser les clients pour leurs pertes – sans toutefois préciser la forme que pourrait prendre une telle compensation.
On notera qu’un journaliste de Bloomberg, Yuji Nakamura, a révélé que Coincheck n’avait pas encore reçu de license de la part de la Financial Services Agency japonaise. Si la date limite avait été fixée à Octobre, la FDA avait accordé une période de grace à la plateforme.
Cependant, le vol dont a été victime Coincheck – et surtout le fait qu’il aurait sans doute pu être évité si le site avait mis en place des mesures de sécurité suffisantes – peut laisser penser que la FSA pourrait décider de prendre des mesures contre la plateforme, et peut-être de demander sa fermeture.
Mark Karpelès a commenté ce piratage sur Twitter. Si la traduction automatique ne nous permet de comprendre précisément ce qu’il a pu dire, il semblerait qu’il fustige les mesures de sécurité prises par Coincheck, qui aurait été insuffisantes :
初めて確認したけど、JADAの「セキュリティ対策」(https://t.co/nT9oqVjnuk)はMTGOXレベル以下。前から考えて時間がないだけでつくてなかったけど、取引所等の最低限なセキュリティ基準をだしたほうがいいかもしれない。せめてMTGOXと同等のセキュリティ対策はないと… pic.twitter.com/O6y96MMDn3
— Mark Karpeles (@MagicalTux) 27 janvier 2018
Référence : CCN