Des pirates dérobent près de 40 millions de dollars de cryptomonnaie

La fin de semaine est rude pour les propriétaires d’ethers (ETH), cette monnaie virtuelle très courue, dont la valeur, dépasse actuellement les 240 dollars l’unité. Deux jours seulement après le cyberbraquage de la plateforme d’échanges CoinDash et le vol de 7,4 millions de dollars, une nouvelle attaque a été repérée, beaucoup plus importante cette fois. Une vulnérabilité «critique» a permis à un pirate de dérober 31.725.019 dollars aux utilisateurs de Parity.

L’entreprise de « smart contracts » permet à plusieurs personnes de contrôler les mouvements bancaires d’un même portefeuille d’ethers : si l’un des membres ne valide pas le transfert, l’argent ne bouge pas. Plusieurs entreprises ont choisi ce système jugé plus sécurisé, car reposant sur plusieurs tiers de confiance. L’équipe de Parity a toutefois publié une alerte à l’ensemble de ses utilisateurs et indiqué sobrement : « déplacez vos fonds vers une adresse sécurisée le plus tôt possible » à cause d’une faille de sécurité dans le code des smart contracts.

Quelque 75 millions de dollars ont déjà été déplacés par des hackers « white hats » (en clair, des gentils hackers) pour préserver les portefeuilles menacés. Ils promettent de les restituer à leurs propriétaires sans doute un brin inquiets. Le bug a été réparé, mais les 32 millions de dollars sont a priori définitivement envolés. Trois entreprises, dont un casino, comptent parmi les victimes de l’attaque.

 

Des piratages de plus en plus récurrents
Ce piratage serait l’un des plus importants de l’histoire d’ethereum, mais pas de la technologie blockchain. En 2015, près de 53 millions de dollars d’ether avaient été volés grâce à une faille majeure du côté de DAO, le premier fonds d’investissement décentralisé. Lundi 17 juillet, c’est l’une des plus importantes plateformes d’échanges de monnaie virtuelle qui a été visée, grâce à un procédé enfantin : le voleur a simplement changé le destinataire des transferts d’argent. En moins de 15 minutes, 39.000 ETH (soit 9,5 millions de dollars) ont été transférés sur CoinDash. Durant seulement trois minutes, un voleur est toutefois parvenu à détourner 7,4 millions de dollars avant que les administrateurs du site ne s’aperçoivent de l’arnaque.

S’il est également impossible de tracer le butin ou son braqueur dans cette attaque, CoinDash a tenté de rassurer les investisseurs lésés. Dans un communiqué publié sur son site, l’entreprise indique avoir récupéré 6 millions de dollars en éther et compte dédommager les contributeurs. Cette attaque rend toutefois l’avenir de la plateforme incertain, puisque le braquage lors d’une levée de fonds est du plus mauvais effet. Elle risque en outre d’influer négativement sur le cours de l’ethereum. L’an dernier, la plateforme de bitcoins Bitfinex avait subi une dévaluation de 20 % de sa monnaie virtuelle à cause d’un piratage s’élevant à 60 millions de dollars.