Aspect Légal Piratage

Wormhole : 318 millions de dollars de wETH dérobés sur ce « token bridge », il s’agit du plus gros crypto-hack de 2022

Le pont déployé entre Ethe­reum et Sola­na s’est fait déro­ber 120 000 tokens Wrap­ped Ether (wETH). Ces actifs ont été trans­fé­rés vers les por­te­feuilles Sola­na et Ethe­reum des pirates.

Le « token bridge » Worm­hole a été vic­time ce mer­cre­di de l’ex­ploi­ta­tion d’une faille de sécu­ri­té, cau­sant la perte de 120 000 tokens wETH (318 mil­lions de dollars).

Worm­hole est un pont de tokens qui per­met aux uti­li­sa­teurs de trans­fé­rer des actifs numé­riques entre les blo­ck­chains Ethe­reum, Sola­na, Binance Smart Chain, Poly­gon, Ava­lanche, Oasis et Ter­ra sans avoir à s’ap­puyer sur une pla­te­forme d’é­change décentralisée.

Il s’a­git du plus grand cryp­to-pira­tage de 2022, et du deuxième plus grand hack de l’his­toire de la finance décen­tra­li­sée (DeFi).

Lors de la rédac­tion de cet article, le site offi­ciel de Worm­hole Bridge affi­chait le mes­sage suivant :

« Nous tra­vaillons acti­ve­ment pour remettre en ligne le por­tail. Un cor­rec­tif a été appli­qué, et l’en­semble des fonds sont en sécurité ».

Les équipes de Worm­hole ont pro­po­sé un « bug boun­ty » de 10 mil­lions de dol­lars, dans l’es­poir de convaincre les pirates de leur res­ti­tuer les sommes dérobées.

Elles ont éga­le­ment ten­té de ras­su­rer la cryp­to-sphère en indi­quant que leur stock d’E­ther serait réap­pro­vi­sion­né afin de « garan­tir que les tokens wETH conti­nuent à être garan­tis avec un ratio 1/1 ». On ignore tou­te­fois d’où pro­vien­dront ces fonds et à quelle date ils seront injectés.

Le pira­tage a eu lieu ce mer­cre­di 2 février à 19 h 24, heure fran­çaise. Les hackers ont émis 120 000 wETHs sur la blo­ck­chain Sola­na, avant d’é­chan­ger 93 750 wETH contre des Ethers sur le réseau Ethe­reum, pour une valeur de 254 mil­lions de dol­lars, à 19 h 28. Ils ont ensuite uti­li­sé une par­tie de cette somme pour mettre la main sur des actifs SportX (SX), Meta Capi­tal (MCAP), Final­ly Usable Cryp­to Kar­ma (FUCK) et Bored Ape Yacht Club Token (APE).

Les autres wETH ont été échan­gés sur Sola­na contre du SOL et de l’USDC. Le por­te­feuille Sola­na des pirates contient actuel­le­ment 432 662 SOL (soit 42,8 mil­lions de dollars).

Si aucun autre actif n’a été impac­té, la socié­té de cyber­sé­cu­ri­té Cer­tik a confié ce jeu­di qu’il était « pos­sible que le pont de Worm­hole vers la blo­ck­chain Ter­ra souffre de la même faille de sécu­ri­té que celle impac­tant le pont vers Solana ».

Un « bug bounty » de 10 millions de dollars

Les équipes de Worm­hole ont contac­té les pirates à tra­vers leur adresse Ethe­reum afin de leur pro­po­ser 10 mil­lions de dol­lars de récom­pense en l’é­change du trans­fert des actifs dérobés :

« Nous avons consta­té que vous avez tiré pro­fit du pro­ces­sus de véri­fi­ca­tion VAA de Sola­na afin de créer des tokens. Nous aime­rions vous pro­po­ser un accord “white hat”. Nous vous pro­po­sons un “bug boun­ty” contre l’ob­ten­tion d’in­for­ma­tions sur ce pira­tage et le ren­voi des wETH que vous avez créés ».

Il s’a­git du deuxième pira­tage d’un « smart contract » sur une pla­te­forme de pont de tokens en une semaine. Le 28 jan­vier, le QBridge de Qubit Finance avait été vic­time du vol de 80 mil­lions de dol­lars de tokens sur la Binance Smart Chain.

On peut éga­le­ment rap­pe­ler le pira­tage du Poly Net­work en août : l’é­qui­valent de 610 mil­lions de dol­lars d’ac­tifs avaient été déro­bés. La qua­si-tota­li­té des fonds avait tou­te­fois été res­ti­tuée par le pirate.

Rate this post