Le plus grand « crypto-hack » de l’histoire : Coincheck victime du vol de 530 millions de dollars de XEM

C’est offi­ciel : la pla­te­forme d’é­change tokyoïte Coin­check a été vic­time d’un pira­tage après s’être faite déro­ber l’é­qui­valent de 530 mil­lions de dol­lars. Il s’a­git du plus grand vol de l’his­toire dont a été vic­time un site d’é­change de cryp­to-mon­naies, devant celui subi par le site Mt. Gox.

Le plus grand piratage d’une plateforme d’échange de monnaies numériques

Lors d’une confé­rence de presse qui a été tenue hier, les diri­geants de Coin­check ont confir­mé qu’un pirate avait déro­bé plus de 500 mil­lions de XEM, soit envi­ron 530 mil­lions de dol­lars lors du hack. Tou­te­fois, d’a­près le jour­nal Nik­kei Veri­tas, qui a twee­té depuis la confé­rence, le mon­tant exact des fonds déro­bés ne sera pas connu avant que les auto­ri­tés n’aient conduit une enquête minutieuse.

Le pira­tage de Coin­check dépasse ain­si celui de Mt. Gox, qui consti­tuait jus­qu’i­ci le plus grand vol enre­gis­tré par une pla­te­forme d’é­change de cryp­to-mon­naies. Le site du fran­çais Mark Kar­pe­lès s’é­tait fait déro­ber 850 000 Bit­coins – soit l’é­qui­valent, à l’é­poque, de 450 mil­lions de dollars.

Lors de la rédac­tion de cet article, le pirate était par­ve­nu à trans­fé­rer 300 000 XEM (la cryp­to-mon­naie du réseau NEM) vers une autre adresse. Les deux adresses en ques­tion ont été signa­lées afin que les autres pla­te­formes d’é­change puissent être en mesure de refu­ser les fonds qui leur seraient envoyés.

Le pirate ne serait parvenu à accéder qu’au wallet NEM de la plateforme

Les diri­geants de Coin­check ont affir­mé hier que seul le wal­let NEM de la pla­te­forme avait été vic­time d’un pira­tage – et que les autres fonds res­taient en sécurité.

Main takea­ways from Coin­check press conf :
– only NEM impacted
– plans to conti­nue ope­ra­ting, res­tart trading
– not clear on plan to repay customers
– no multisig ?
– wouldn’t admit secu­ri­ty was weak
– not sure how hacked, if domes­tic or forei­gn hackers
– CEO bare­ly spoke

— Yuji Naka­mu­ra (@ynakamura56) 26 jan­vier 2018

Ceci a sou­la­gé de nom­breux tra­ders, alors que cer­taines rumeurs lais­saient pen­ser que le pirate aurait pu s’in­fil­trer dans d’autres wallets.

Ain­si, sur Twit­ter, un « moni­tor » Ripple avait aper­çu une tran­sac­tion de 110 mil­lions de dol­lars, en XRP, envoyés à par­tir d’un wal­let appar­te­nant à Coin­check vers un autre wal­let incon­nu – un wal­let qui détient désor­mais 3 mil­liards de dol­lars de XRP.

110 mil usd in #Ripple (XRP) were sent from the Japa­nese cryp­to­cur­ren­cy exchange Coin­check to an unk­nown address. Hacking sus­pec­ted. https://t.co/hmGhlSmJEH

— Cos­tin Raiu (@craiu) 26 jan­vier 2018

Les obser­va­teurs qui ont évo­qué ce trans­fert semblent tou­te­fois pen­ser qu’il serait lié à une simple mesure de sécu­ri­té ini­tiée par Coin­check.

On note­ra que les diri­geants de la NEM Foun­da­tion ont bien insis­té sur le fait que le pira­tage n’a­vait stric­te­ment rien à voir avec la sécu­ri­té liée à la cryp­to-mon­naies XEM, et que Coin­check était seule res­pon­sable des pertes qu’elle a pu subir.

Coincheck avait conservé la majeure partie des XEM dans des « Hot Wallets »

Lors de la confé­rence de presse d’hier, les diri­geants de Coin­check ont admis qu’ils conser­vaient la majo­ri­té des fonds dans des « hot wal­lets » – ce qui pou­vait rendre les coins sto­ckés vul­né­rables si des pirates par­ve­naient à infil­trer les ser­veurs de la société.

Comme l’ont indi­qué les fon­da­teurs de plu­sieurs pla­te­formes d’é­change (Gemi­ni, Coin­base,…), ceux-ci décident de conser­ver la majo­ri­té des fonds de leurs clients dans des « cold wal­lets », qui sont sto­ckés « hors ligne ». Ces coins se retrouvent ain­si hors de por­tée des pirates infor­ma­tiques, dans des lieux sécurisés.

• À lire éga­le­ment : « Les jumeaux Wink­le­voss prennent très au sérieux la ques­tion de la sécu­ri­té »

Pour­tant, Coin­check a indi­qué qu’il leur « était dif­fi­cile de gérer des cold wal­lets ». Et il s’a­git d’une déci­sion très dom­ma­geable : l’am­pleur de ce hack aurait pu être net­te­ment mini­mi­sée si la pla­te­forme n’a­vait conser­vé qu’une petite par­tie de ses XEM sur un « hot wallet ».

Pour cou­ron­ner le tout, Coin­check n’a pas mis en place le sys­tème de « smart contract » mul­ti-signa­tures offert par NEM, qui aurait per­mis à son wal­let de pro­fi­ter d’une couche de sécu­ri­té supplémentaire.

Pas de fork prévu du côté de NEM

Comme ce pira­tage porte sur une part impor­tante du nombre total de XEM en cir­cu­la­tion, NEM aurait pu déci­der de mettre en place un hard fork. Celui-ci aurait pu lui per­mettre d”  »annu­ler » ce vol – de manière ana­logue à ce qu’a­vait déci­dé de faire Ethe­reum après le hack de The­DAO, en 2016.

Mais Lon Wong, le pré­sident de la NEM Foun­da­tion, ne semble pas l’en­tendre de cette oreille :

Dans un com­mu­ni­qué, il a insis­té sur le fait que le pira­tage de Coin­check était lié aux « faibles » mesures de sécu­ri­té prises par la pla­te­forme, et qu’il n’a­vait pas été faci­li­té par une une faille inhé­rente au code source de NEM. M. Wong en a pro­fi­té pour invi­ter les pla­te­formes d’é­change de mon­naies numé­riques à tirer pro­fit des smart contracts multi-signatures.

Coincheck souhaite poursuivre ses opérations – et la société compte rembourser les clients lésés

Les diri­geants de Coin­check ont indi­qué qu’ils pré­voyaient de pour­suivre l’ex­ploi­ta­tion de la pla­te­forme, et qu’ils comp­taient rem­bour­ser les clients pour leurs pertes – sans tou­te­fois pré­ci­ser la forme que pour­rait prendre une telle compensation.

On note­ra qu’un jour­na­liste de Bloom­berg, Yuji Naka­mu­ra, a révé­lé que Coin­check n’a­vait pas encore reçu de license de la part de la Finan­cial Ser­vices Agen­cy japo­naise. Si la date limite avait été fixée à Octobre, la FDA avait accor­dé une période de grace à la plateforme.

Cepen­dant, le vol dont a été vic­time Coin­check – et sur­tout le fait qu’il aurait sans doute pu être évi­té si le site avait mis en place des mesures de sécu­ri­té suf­fi­santes – peut lais­ser pen­ser que la FSA pour­rait déci­der de prendre des mesures contre la pla­te­forme, et peut-être de deman­der sa fermeture.

Mark Kar­pe­lès a com­men­té ce pira­tage sur Twit­ter. Si la tra­duc­tion auto­ma­tique ne nous per­met de com­prendre pré­ci­sé­ment ce qu’il a pu dire, il sem­ble­rait qu’il fus­tige les mesures de sécu­ri­té prises par Coin­check, qui aurait été insuffisantes :

初めて確認したけど、JADAの「セキュリティ対策」（https://t.co/nT9oqVjnuk）はMTGOXレベル以下。前から考えて時間がないだけでつくてなかったけど、取引所等の最低限なセキュリティ基準をだしたほうがいいかもしれない。せめてMTGOXと同等のセキュリティ対策はないと… pic.twitter.com/O6y96MMDn3

— Mark Kar­peles (@MagicalTux) 27 jan­vier 2018

Réfé­rence : CCN