Vous avez donc volé 600 millions de dollars. Et maintenant ?

La communauté Crypto a été secouée mardi par ce qui est sans conteste l'un des plus grands piratages de l'histoire. Web 3 Histoire : un exploit de 625 millions de dollars qui a drainé les fonds de Ronin, la blockchain qui abrite le très populaire Axie Infinity jouer pour gagner jeu.

Malgré cette somme exorbitante, les experts ont toutefois déclaré à CoinDesk, dans une série d'entretiens, qu'il était peu probable que l'attaquant puisse un jour profiter de ses gains mal acquis.

Mardi, le développeur d'Axie, Sky Mavis, a annoncé dans un article de blog que l'exploit avait entraîné des pertes de plus de 173 000 ETH et 25,5 millions USDC, d'une valeur de plus de 625 millions de dollars au moment de la publication.

Sur le même sujet : Le réseau Ronin d'Axie Infinity subit une faille de sécurité de 625 millions de dollars

Cependant, immédiatement après l'attaque, les observateurs ont noté que le pirate informatique avait utilisé des échanges centralisés pour financer l'adresse qui a lancé l'attaque, et qu'il avait déposé des milliers d' ETH sur des échanges tels que Huobi, FTX et Crypto.com - une décision que de nombreux experts en sécurité ont qualifiée de faux pas probable.

Étant donné que ces plateformes disposent de systèmes de vérification KYC (Know Your Customer), ces dépôts pourraient être utilisés pour découvrir l’identité du pirate et, à terme, le forcer à restituer les fonds.

« Si j'étais à leur place, je chercherais à sortir de cette situation au plus vite », a déclaré Tom Robinson, cofondateur de la société d'analyse blockchain Elliptic, à CoinDesk. « Cela pourrait inclure le remboursement des fonds. »

Connaissez votre exploiteur

La méthode actuelle de l’attaquant pour tenter de blanchir des fonds via des échanges centralisés a semblé étrange à de nombreux experts du secteur.

« Il est inhabituel de voir des flux de fonds aussi directs, provenant de vols, vers de grandes plateformes d'échange », a déclaré Robinson. « Ils pourraient avoir acheté des comptes ou avoir recours à un intermédiaire pour blanchir de l'argent en leur nom. »

Dans une exclusivité d'octobre, CoinDesk a découvert qu'il existe un marché noir florissant pour les comptes KYCsur des plateformes d'échange centralisées. Cependant, Robinson a noté que les plateformes d'échange utilisées, notamment FTX etCrypto.com, ont une solide réputation en matière de conformité réglementaire et de KYC.

Dans l’ensemble, il a qualifié les efforts actuels des attaquants pour blanchir leurs fonds d’« étonnamment naïfs ».

« Cela ne correspond T tout à fait à la sophistication qu'il faudrait apparemment pour compromettre ces validateurs et obtenir leurs clés privées », a-t-il ajouté.

Une stratégie plus courante des exploiteurs consiste à utiliser un mixeur comme Tornado Cash, à envoyer des fonds volés via des échanges non KYC et, en général, à « ne pas se précipiter pour tout encaisser immédiatement, voire à attendre des années », a déclaré Robinson.

En effet, la communauté Crypto au sens large a exprimé sa perplexité face à la stratégie de blanchiment de l’attaquant.

Comme c'est souvent le cas après une attaque, les utilisateurs Ethereum ont utilisé le réseau pour communiquer avec l'attaquant, et dans un cas, un individu a tenté de donner à l'attaquant conseils pour mieux blanchir leur ETH.

« Bonjour, votre dépôt initial provenait de Binance. Soyez prudent et assurez-vous d'utiliser tornado.cash. Vous devez laisser les fonds plusieurs jours, sinon ils pourraient être tracés », a-t-il écrit à l'adresse de l'attaquant dans le cadre d'une transaction Ethereum . « Vous devriez ensuite utiliser stealthex.io pour échanger contre d'autres devises sur une longue période. Merci, n'hésitez pas à me donner un pourboire ou à me retirer. »

Cependant, même avec des outils rigoureux de protection de la vie privée et une planification minutieuse, Robinson a déclaré à CoinDesk qu'il est extrêmement difficile de blanchir une somme aussi importante que 600 millions de dollars. En effet, malgré les nombreuses précautions prises par les blanchisseurs présumés pendant des années, Les autorités américaines ont saisi 3,6 milliards de dollars en Bitcoinlié au piratage de Bitfinex de 2016 le mois dernier.

Tâtonner le sac

Si Axie dispose d’informations sur l’attaquant, l’identification des pirates s’est avérée être une tactique efficace pour les développeurs dans le passé.

Contactée par CoinDesk, la société d'enquête sur la blockchain Chainalysis a refusé de commenter, invoquant son implication dans l'enquête en cours.

Vous parlez de chiffres de la taille du PIB obtenus grâce à des piratages.

En septembre dernier, lors de ONEun des incidents de piratage les plus colorés de l'histoire de la blockchain, les développeurs du jeton non fongible Jay Pegs Auto Mart (NFT) a réussi à intimider un pirate informatique pour qu'il lui rende des fonds en commandant, entre autres tactiques, de la soupe miso à son domicile.

Sur le même sujet : 3 millions de dollars ont été volés, mais le véritable vol, ce sont ces Kia Sedona, affirment des développeurs anonymes

L'ancien directeur Technologies de SUSHI , Joseph Delong, qui a participé aux négociations avec Jay Pegs, a déclaré que l'identification d'un pirate informatique peut aider à « empêcher une fuite anonyme » et augmentera la pression publique.

« Les gens seront en colère si vous divulguez l'identité de l'attaquant, mais ces cryptoanarchistes peuvent aller se faire foutre avec leur complexe de supériorité », a déclaré Delong dans une interview mardi.

« Blanchir 600 millions de dollars, je ne pense T que ce soit possible », a déclaré Adrian Hetman, expert DeFi chez Immunefi, un service de bug bounty. « Dans le meilleur des cas, au lieu de vous introduire dans le protocole par le biais de black hats, vous devriez utiliser vos connaissances pour signaler des bugs sur une plateforme de bug bounty ; vous pourriez facilement devenir millionnaire. »

Delong de Sushi a également noté que donner des options au pirate informatique peut être un outil utile, comme un « programme de primes clair et des partenaires comme Immunefi pour aider ».

En effet, Immunefi fait partie de la multitude de services qui ont émergé alors que la DeFi et le Web 3 cherchent à protéger l'écosystème contre la vague croissante de piratages. Immunefi a versé à lui seul 20 millions de dollars en primes aux bugs et dispose actuellement de 120 millions de dollars pour les hackers white hat, terme désignant l'opposé bienveillant des hackers black hat qui s'enfuient avec des fonds volés plutôt que de signaler les vulnérabilités.

L'histoire montre que tenter de voler et de blanchir 625 millions de dollars était peut-être l'option la moins rentable pour un attaquant. En août dernier, le pirate informatique a réussi à dérober 611 millions de dollars à POLY Network. a finalement restitué les fondsaprès avoir décidé qu'il serait impossible de retirer de l'argent.

« Je pense qu'il se fera prendre ou qu'il sera contraint de restituer les fonds. Ou les deux », a déclaré Hetman à propos du pirate informatique Ronin.

Motivations idéologiques

Dans le pire des cas pour Axie Infinity, cependant, l'exploitant pourrait même ne pas se soucier de l'argent du tout.

« Je pense que, fondamentalement, l'idéologie de l'exploiteur est l'élément clé à prendre en compte lorsqu'il s'agit de chiffres de l'ordre du PIB obtenus grâce à des piratages », a déclaré Laurence E. Day, développeur et chercheur en blockchain. « S'il l'a fait simplement pour signaler une vulnérabilité ou pour dire "parce qu'il le pouvait, peu importe les conséquences", la question de savoir si cela en valait la peine dépend de sa capacité à considérer cela comme une auto-validation suffisante de ses compétences. »

Day connaît bien les pirates informatiques qui cherchent à faire passer un message. En octobre dernier, un protocole auquel Day a contribué, Indexed Finance, a été exploité par un jeune prodige canadien des mathématiques, Andean « Andy » Medjedovic.

Sur le même sujet : Après avoir « volé » 16 millions de dollars, ce jeune pirate informatique semble déterminé à tester le principe « Code is Law » devant les tribunaux

Malgré la divulgation de l'identité de Medjedovic par l'équipe et la poursuite de l'affaire en justice, l'étudiant diplômé canadien a jusqu'à présent refusé de restituer les fonds.tweetsà partir d’un compte prétendant appartenir à Medjedovic, il a présenté la confrontation comme un « duel » et un « combat à mort ».

Alors que Medjedovic estactuellement un fugitif de la loi, l'incident lui a valu une notoriété considérable, ce qui a peut-être été sa principale motivation.

Cependant, Day a noté que si le pirate informatique de Ronin est intéressé par la célébrité plutôt que par l'argent, même cet objectif final semble actuellement être un jeu perdu : il pourrait ne jamais être en mesure de revendiquer sa responsabilité sans se faire prendre.

« Nous avons vu à maintes reprises que l’ego est la cause de la chute des gens qui réussissent des exploits, et j’imagine qu’il serait assez difficile de ne jamais pouvoir l’admettre de la même manière que négocier une prime de chapeau blanc et devenir un dieu aux yeux de la communauté vous le permettrait », a déclaré Day.

Plus d’articles sur sur Axie Infinity et Ronin Network sur CoinDesk

Binance suspend les dépôts et les retraits sur le réseau Ronin après un piratage

Ronin, spécialisé dans les jeux vidéo, a révélé mardi une perte de plus de 625 millions de dollars en USDC et en ether.

Axie Infinity réduit les émissions de SLP pour éviter l'effondrement

Les inquiétudes concernant les émissions d’un jeton en jeu ont provoqué une baisse du nombre d’utilisateurs et une chute drastique des prix du SLP .

Sky Mavis, fondateur Axie Infinity, lance le jeton de gouvernance RON

Le jeton s'échangeait autour de 3,75 $ après son lancement.