Les États-Unis ont arrêté le cybercriminel responsable du hack de deux plateformes d’échange de cryptomonnaies. C’est la toute première fois que la justice met la main sur un pirate ayant exploité une faille dans un contrat intelligent. On fait le point sur cette arrestation historique.
L’an dernier, Shakeeb Ahmed, un ancien ingénieur d’Amazon, s’est attaqué à deux plateformes de la finance décentralisée. L’homme est parvenu à pirater deux protocoles permettant d’échanger des cryptomonnaies sur les blockchains, dont une plateforme intitulée Nirvana Finance. Au terme des deux attaques, l’ingénieur en sécurité informatique s’est envolé avec un butin de 12,3 millions de dollars en cryptomonnaies.
À lire aussi : Ledger, leader de la sécurité des cryptomonnaies, a été piraté
Une faille dans le code des plateformes
Pour mener à bien les offensives, l’expert en cybersécurité a exploité une faille au sein des contrats intelligents utilisés par les plateformes. Les contrats intelligents, également appelés smart-contracts, sont des logiciels automatisés conçus pour effectuer des actions sur une blockchain. Ces protocoles jouent un rôle central dans le fonctionnement des services d’échange décentralisés. Ils sont en effet responsables de la gestion des cryptomonnaies déposées par les utilisateurs et de tous les transferts entre les chaînes de blocs.
Fort de son expertise dans les blockchains, Ahmed s’est servi de la vulnérabilité pour convaincre les contrats intelligents de générer frauduleusement des millions de dollars de devises numériques. L’ingénieur a ensuite pu retirer les fonds, apparus comme par magie sur le réseau, avant que les développeurs du protocole ne puissent agir.
Dans le cadre du hack de Nirvana Finance, le pirate a d’abord contracté un prêt de 10 millions de dollars sur la plateforme. Avec l’argent obtenu, il a massivement investi dans le token de Nirvana Finance, l’ANA. En exploitant la brèche d’un smart contract, Ahmed a acheté le token à un prix bien plus bas que celui du marché. Le protocole prévoit en effet que le prix de la cryptomonnaie grimpe après un investissement de taille. Grâce à la faille, il a pu contourner cette règle et faire de belles économies. Néanmoins, le protocole a fini par actualiser le prix de l’ANA suite à l’achat d’Ahmed. C’est là que le hacker a revendu des tokens, repartant avec de solides bénéfices.
Peu après les attaques, le cybercriminel a négocié avec les développeurs des protocoles ciblés. Il a proposé à la première victime de rendre l’essentiel des devises volées si celle-ci acceptait de ne pas contacter la police. De son côté, Nirvana Finance a offert une prime de 600 000 dollars à son assaillant. Le pirate a refusé l’offre et réclamé plus d’un million de dollars pour rendre les fonds volés. Aucun accord n’a été passé et Nirvana Finance, lourdement affecté par le hack, a fini par fermer ses portes. En parallèle, le voleur a blanchi les cryptomonnaies en utilisant une myriade de techniques. Il a notamment converti son butin en Monero (XMR), une cryptomonnaie anonyme. Depuis son lancement en 2014, le Monero s’est graduellement positionné comme l’une des cryptomonnaies de prédilection des cybercriminels. En contraste avec le roi Bitcoin, le XMR offre l’anonymat aux usagers, rendant impossible la traçabilité des transactions.
Une première arrestation
Malgré ses précautions, le trentenaire est finalement tombé dans les filets de la justice américaine. Un an après les faits, le pirate a été inculpé de fraude informatique devant un tribunal de New York, annonce le département de la Justice des États-Unis. Comme le souligne Damian Williams, le procureur en charge de l’affaire, il s’agit de la « toute première arrestation impliquant une attaque contre un contrat intelligent » :
« Cette arrestation est maintenant la toute première condamnation pour un tel piratage. […] La condamnation d’aujourd’hui montre que peu importe la sophistication des méthodes utilisées, la fraude est une fraude, et nous vous attraperons et vous condamnerons rapidement ».
Devant les tribunaux, Ahmed a plaidé coupable et accepté de rendre toutes les cryptomonnaies subtilisées par ses soins. Le trentenaire risque une peine maximale de cinq ans de prison. La sentence sera annoncée en mars 2024.
Il n’est pas rare que les contrats intelligents soient à l’origine du piratage d’une plateforme de la finance décentralisée. Ces dernières années, de nombreux pirates ont utilisé les smart contracts pour siphonner des protocoles de l’écosystème crypto. On se souviendra du hack de Cbridge, le pont (bridge) de Celer Network, qui était basé sur un contrat malveillant, ou du piratage de Curve Finance. Les contrats reposent sur du code open source. Il est donc aisé pour les hackers d’éplucher le code à la recherche d’une vulnérabilité.
Source :
justice.gov