Aspect Légal Piratage

Le plus grand « crypto-hack » de l’histoire : Coincheck victime du vol de 530 millions de dollars de XEM

Piratage Plateforme

C’est offi­ciel : la pla­te­forme d’é­change tokyoïte Coin­check a été vic­time d’un pira­tage après s’être faite déro­ber l’é­qui­valent de 530 mil­lions de dol­lars. Il s’a­git du plus grand vol de l’his­toire dont a été vic­time un site d’é­change de cryp­to-mon­naies, devant celui subi par le site Mt. Gox.

Le plus grand piratage d’une plateforme d’échange de monnaies numériques

Logo de CoinCheckLors d’une confé­rence de presse qui a été tenue hier, les diri­geants de Coin­check ont confir­mé qu’un pirate avait déro­bé plus de 500 mil­lions de XEM, soit envi­ron 530 mil­lions de dol­lars lors du hack. Tou­te­fois, d’a­près le jour­nal Nik­kei Veri­tas, qui a twee­té depuis la confé­rence, le mon­tant exact des fonds déro­bés ne sera pas connu avant que les auto­ri­tés n’aient conduit une enquête minu­tieuse.

Le pira­tage de Coin­check dépasse ain­si celui de Mt. Gox, qui consti­tuait jus­qu’i­ci le plus grand vol enre­gis­tré par une pla­te­forme d’é­change de cryp­to-mon­naies. Le site du fran­çais Mark Kar­pe­lès s’é­tait fait déro­ber 850 000 Bit­coins – soit l’é­qui­valent, à l’é­poque, de 450 mil­lions de dol­lars.

Lors de la rédac­tion de cet article, le pirate était par­ve­nu à trans­fé­rer 300 000 XEM (la cryp­to-mon­naie du réseau NEM) vers une autre adresse. Les deux adresses en ques­tion ont été signa­lées afin que les autres pla­te­formes d’é­change puissent être en mesure de refu­ser les fonds qui leur seraient envoyés.

Transfert de XEM dans le cadre du piratage de Coincheck

Le pirate ne serait parvenu à accéder qu’au wallet NEM de la plateforme

Les diri­geants de Coin­check ont affir­mé hier que seul le wal­let NEM de la pla­te­forme avait été vic­time d’un pira­tage – et que les autres fonds res­taient en sécu­ri­té.


Ceci a sou­la­gé de nom­breux tra­ders, alors que cer­taines rumeurs lais­saient pen­ser que le pirate aurait pu s’in­fil­trer dans d’autres wal­lets.

Ain­si, sur Twit­ter, un « moni­tor » Ripple avait aper­çu une tran­sac­tion de 110 mil­lions de dol­lars, en XRP, envoyés à par­tir d’un wal­let appar­te­nant à Coin­check vers un autre wal­let incon­nu – un wal­let qui détient désor­mais 3 mil­liards de dol­lars de XRP.


Les obser­va­teurs qui ont évo­qué ce trans­fert semblent tou­te­fois pen­ser qu’il serait lié à une simple mesure de sécu­ri­té ini­tiée par Coin­check.

On note­ra que les diri­geants de la NEM Foun­da­tion ont bien insis­té sur le fait que le pira­tage n’a­vait stric­te­ment rien à voir avec la sécu­ri­té liée à la cryp­to-mon­naies XEM, et que Coin­check était seule res­pon­sable des pertes qu’elle a pu subir.

Coincheck avait conservé la majeure partie des XEM dans des « Hot Wallets »

Parity WalletLors de la confé­rence de presse d’hier, les diri­geants de Coin­check ont admis qu’ils conser­vaient la majo­ri­té des fonds dans des « hot wal­lets » – ce qui pou­vait rendre les coins sto­ckés vul­né­rables si des pirates par­ve­naient à infil­trer les ser­veurs de la socié­té.

Comme l’ont indi­qué les fon­da­teurs de plu­sieurs pla­te­formes d’é­change (Gemi­ni, Coin­base,…), ceux-ci décident de conser­ver la majo­ri­té des fonds de leurs clients dans des « cold wal­lets », qui sont sto­ckés « hors ligne ». Ces coins se retrouvent ain­si hors de por­tée des pirates infor­ma­tiques, dans des lieux sécu­ri­sés.

Pour­tant, Coin­check a indi­qué qu’il leur « était dif­fi­cile de gérer des cold wal­lets ». Et il s’a­git d’une déci­sion très dom­ma­geable : l’am­pleur de ce hack aurait pu être net­te­ment mini­mi­sée si la pla­te­forme n’a­vait conser­vé qu’une petite par­tie de ses XEM sur un « hot wal­let ».

Pour cou­ron­ner le tout, Coin­check n’a pas mis en place le sys­tème de « smart contract » mul­ti-signa­tures offert par NEM, qui aurait per­mis à son wal­let de pro­fi­ter d’une couche de sécu­ri­té sup­plé­men­taire.

Pas de fork prévu du côté de NEM

Comme ce pira­tage porte sur une part impor­tante du nombre total de XEM en cir­cu­la­tion, NEM aurait pu déci­der de mettre en place un hard fork. Celui-ci aurait pu lui per­mettre d”  »annu­ler » ce vol – de manière ana­logue à ce qu’a­vait déci­dé de faire Ethe­reum après le hack de The­DAO, en 2016.

Mais Lon Wong, le pré­sident de la NEM Foun­da­tion, ne semble pas l’en­tendre de cette oreille :

Lon Wong Hack NEM Fork

Dans un com­mu­ni­qué, il a insis­té sur le fait que le pira­tage de Coin­check était lié aux « faibles » mesures de sécu­ri­té prises par la pla­te­forme, et qu’il n’a­vait pas été faci­li­té par une une faille inhé­rente au code source de NEM. M. Wong en a pro­fi­té pour invi­ter les pla­te­formes d’é­change de mon­naies numé­riques à tirer pro­fit des smart contracts mul­ti-signa­tures.

Coincheck souhaite poursuivre ses opérations – et la société compte rembourser les clients lésés

La plateforme d'échange de monnaies numériques CoinCheckLes diri­geants de Coin­check ont indi­qué qu’ils pré­voyaient de pour­suivre l’ex­ploi­ta­tion de la pla­te­forme, et qu’ils comp­taient rem­bour­ser les clients pour leurs pertes – sans tou­te­fois pré­ci­ser la forme que pour­rait prendre une telle com­pen­sa­tion.

On note­ra qu’un jour­na­liste de Bloom­berg, Yuji Naka­mu­ra, a révé­lé que Coin­check n’a­vait pas encore reçu de license de la part de la Finan­cial Ser­vices Agen­cy japo­naise. Si la date limite avait été fixée à Octobre, la FDA avait accor­dé une période de grace à la pla­te­forme.

Cepen­dant, le vol dont a été vic­time Coin­check – et sur­tout le fait qu’il aurait sans doute pu être évi­té si le site avait mis en place des mesures de sécu­ri­té suf­fi­santes – peut lais­ser pen­ser que la FSA pour­rait déci­der de prendre des mesures contre la pla­te­forme, et peut-être de deman­der sa fer­me­ture.

Mark Kar­pe­lès a com­men­té ce pira­tage sur Twit­ter. Si la tra­duc­tion auto­ma­tique ne nous per­met de com­prendre pré­ci­sé­ment ce qu’il a pu dire, il sem­ble­rait qu’il fus­tige les mesures de sécu­ri­té prises par Coin­check, qui aurait été insuf­fi­santes :

Réfé­rence : CCN




[wpcrypto_list]