[Mise à jour – 12/08/2021 – Entre le début de la rédaction de cet article au tout début de l’affaire et sa publication tardive, la situation a largement évolué et s’est heureusement débloquée pour Poly Network. Contre toute attente, le pirate, qui avait agi seul, a depuis lancé les démarches de remboursement.
As our communication with Mr. White Hat is going on, the remaining user assets on Ethereum are gradually transfered to the multisig wallet (0x34D6B21D7B773225A102b382815e00Ad876E23C2) requested by Mr. White Hat. pic.twitter.com/FdSfJ6ZIUt
— Poly Network (@PolyNetwork2) August 12, 2021
Depuis la rédaction de l’article, davantage d’informations sont également apparues par rapport aux moyens techniques employés. Un résumé étape par étape est disponible sur le site spécialisé Rekt.news (merci à nos internautes pour cette information).
Enfin, on note également que PolyNetwork s’adresse au pirate en tant que “Mr. White Hat”, une dénomination qui désigne des pirates aux intentions vertueuses qui souhaitent attirer l’attention sur une brèche de sécurité. Il s’est depuis exprimé sur ses motivations dans une série de messages repérés par le spécialiste des cryptomonnaies Tom Robinson et relayés sur Twitter.
The $600 million Poly Network hacker has published part one of a "Q&A":#polynetworkhack pic.twitter.com/3y1JQnHe50
— Tom Robinson (@tomrobin) August 11, 2021
Tout est donc bien qui finit bien, et l’intégralité de la somme devrait être restituée à terme.]
PolyNetwork, une entreprise spécialisée dans les transferts de cryptomonnaies, vient d’être l’objet d’un gigantesque braquage; d’après l’expert Mudit Gupta, [lien mis à jour suite à la suppression des tweets] la société aurait été délestée d’environ 600 millions de dollars en Ethereum, BinanceChain et OxPolygon. Un montant faramineux qui en ferait tout simplement le plus gros vol de l’histoire de la finance décentralisée, d’après la victime.
Poly Networks n’a pas livré de détails sur la façon dont les pirates se sont introduits dans son système; tout juste sait-on qu’ils ont exploité une vulnérabilité d’un système baptisé “contract calls”. Mais l’entreprise n’est pas dans le flou total pour autant. La nature même de la blockchain exige que tout le registre des transactions soit anonyme, mais tout de même public, de façon à ce que chaque acteur de la chaîne puisse servir de garant; Poly Networks a donc pu identifier les auteurs de ce cyber-casse du siècle, ou tout du moins l’adresse de leurs portefeuilles.
Important Notice:
We are sorry to announce that #PolyNetwork was attacked on @BinanceChain @ethereum and @0xPolygon Assets had been transferred to hacker's following addresses:
ETH: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963
BSC: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71— Poly Network (@PolyNetwork2) August 10, 2021
La firme encourage vivement ses utilisateurs à “blacklister” ces adresses, afin de bloquer toute possibilité de transaction avec les auteurs.
Les responsables de la plateforme impuissants
Malheureusement, les propriétaires de la plateforme se retrouvent démunis. Peu après l’attaque, Poly Network a publié sur Tweeter un message à l’attention des pirates. L’entreprise les exhorte à faire face à leurs responsabilités, et insiste sur le fait qu’il s’agit d’un “crime économique majeur”. Elle ajoute qu’il serait “mal avisé d’effectuer d’autres transactions”. La direction espère ainsi que les auteurs prendront contact avec eux, pour qu’ils puissent “trouver une solution” ensemble. Mais il serait très surprenant que Poly Network obtienne une réponse à cet appel du pied qui semble un tantinet désespéré.
Cette situation doit évidemment être considérée avec tout le sérieux qu’elle mérite. Car l’explosion de la finance décentralisée (DeFi), dont les cryptomonnaies font partie intégrante, a naturellement attiré l’attention des pirates. Il sera donc très important de savoir précisément comment les pirates ont pu accéder à ces fonds et les transférer, afin d’éviter d’autres scénarios de ce type.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
merci de mettre à jour l’article .
Le hacker aurait agit seul, il est en contact avec l’équipe de Poly network via des transaction ETH (vérifiables dans un explorer et je vous conseille d’aller voir la conversation est parfois lunaire) .
Il a déjà remboursé 30% des fonds. il s’est expliqué quant à ses motivations et souhaite finir le remboursement dès que Poly aura fini de mettre en place un nouveau Multisig (avec plus d’une sig cette fois) et commencé à indemniser les users. et on sait exactement comment il a procédé vous trouverez le résumé de l’attaque sur rekt news.
et toutes ces informations sont disponibles depuis hier matin. il suffisait de taper “poly network” sur google pour acceder à ces informations dès la première page de résultats.
d’ailleur votre source “Interesting Engineering” a elle-même reçu une update hier à 14h pour indiquer que le remboursement avait commencé.
Je ne sais pas comment fonctionne la propriété intellectuelle au niveau des articles sur des sites en ligne et pour être honnête ça ne m’intéresse pas mais quand vous copiez un article de 01net essayez au moins de le mettre à jour..
(même expert que 01net, d’ailleurs quand on click sur votre lien twitter il dit lui-même “please ignore this thread”, ainsi que les mêmes fautes que l’article originel à savoir qu’il s’agit de la binance smart chain -aussi connu sous le nom de BSC comme c’est écrit dans votre source “interesting engineering” et non pas binancechain qui sont deux chains differentes- et le réseau Matic s’appelle 0xPolygon – *zero*xPolygon et non pas *laLettreO*xPolygon )
qu’on soit d’accord ces fautes sont minimes et n’empêchent pas le partage d’information , je les remonte juste pour appuyer mon propos quant à la copie d’article.