La police française a annoncé, vendredi 24 février, l’arrestation de deux personnes soupçonnées d’être à l’origine du piratage ayant visé une plate-forme de finance décentralisée. Cette opération leur avait permis de soutirer l’équivalent de 9,5 millions de dollars (9 millions d’euros) en crypto-actifs. « Ce sont des bourses d’échange, comme Binance, qui nous ont alertées vendredi 17 février sur les transferts d’argent suspects », précise au Monde Christophe Durand, directeur adjoint de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC).
[#Cybercriminalité]La #PoliceNationale met fin à une escroquerie d’ampleur pour un préjudice de 9,5 millions💰sur un… https://t.co/0rQedeOV6b
Ces différents signalements ont permis à la police de remonter jusqu’à deux frères vivant en Ile-de-France. L’un est soupçonné d’être à l’origine de l’attaque, tandis que l’autre aurait bénéficié d’une partie de l’argent dérobé. L’équivalent de 210 000 euros en cryptomonnaies a été saisi. Interpellé dans la journée de mercredi, l’un des mis en cause s’est défendu en expliquant qu’il entendait rendre la somme contre une prime pour avoir signalé la faille de sécurité, grâce à laquelle les fonds ont pu être escamotés. Ils ont été présentés à la justice jeudi soir.
La cible probable de leur piratage : la plate-forme Platypus, qui avait justement annoncé avoir été visée par une escroquerie dans la journée du 16 février. Peu de temps après l’attaque, le parcours des fonds qui lui avaient été volés avait été suivi sur la blockchain, permettant notamment au service Platypus Finance et au compte ZachBXT, un internaute spécialisé dans le suivi des cryptomonnaies, de prendre contact avec plusieurs bourses d’échange et acteurs de la finance décentralisée pour alerter sur des transferts de fonds volés. Platypus explique sur son blog que l’identité du suspect a été confirmée par Binance, une des plus importantes plates-formes de cryptomonnaies, à la suite d’un retrait de fonds. La société a expliqué avoir ensuite déposé une plainte auprès des autorités françaises.
Un coup à trois bandes
Sur leur blog, les responsables de Platypus ont détaillé la façon dont s’est déroulée l’attaque. Celle-ci s’est appuyée sur les « flash loan », un type de prêt instantané de cryptomonnaies permettant à un utilisateur d’emprunter un certain montant sans garantie mais en le remboursant de façon quasi instantanée. Cet outil est souvent utilisé dans des attaques contre les protocoles de finance décentralisée. Ce fut notamment le cas lors des piratages ayant visé Akropolis ou Harvest Finance en 2020.
Ici, les pirates ont contracté des « flash loans » puis tiré profit d’une faille qu’ils avaient identifiée dans l’outil de vérification de la solvabilité du système de prêt de Platypus. Ce qui leur a permis de soutirer l’équivalent de 9,1 millions de dollars, selon l’estimation de l’organisation.
Pour autant, les attaquants n’ont pas pu profiter de l’intégralité des fonds dérobés à la plate-forme, du fait d’erreurs dans l’exploitation de la vulnérabilité. Au total, Platypus estime que les escrocs sont parvenus à mettre réellement la main sur seulement 287 000 dollars (272 000 euros) en Etherum.