Un demi-milliard de dollars en cryptodevise NEM a été braqué sur la plateforme japonaise Coincheck, qui assure rembourser les 260 000 clients affectés. Des négligences de sécurité seraient en cause.

L’équivalent de plus de 500 millions de dollars en NEM, qui tourne autour du dixième rang mondial des cryptomonnaies, ont été siphonnés de la plateforme d’échange japonaise Coincheck ce vendredi 26 janvier, à 3 heures du matin heure locale. 260 000 clients sont touchés. Coincheck, l’un des plus gros sites de cryptotrading du pays, a en réponse limité les retraits de toutes devises et toutes activités de trading hors bitcoin.

Coincheck a déclaré s’engager à rembourser ses clients avec ses propres fonds. Tokyo avait réglementé en avril 2017 pour ordonner à tous les sites de cryptoéchange de s’enregistrer auprès du gouvernement. Les plateformes préexistantes, comme Coincheck, étaient autorisées à continuer leurs activités pendant le processus d’approbation de leur demande. Celle de Coincheck avait été soumise en septembre 2017 et n’a pas encore eu de suite.

Est-ce vraiment le plus gros cryptobraquage de l’histoire ?

La quantité brute de cryptodevise volée dépasse en effet celle du tristement célèbre braquage de MtGox en 2014 et ses 450 millions de dollars à l’époque. Cependant, le marché des cryptomonnaies n’était valorisé qu’à 10 milliards de dollars à l’époque contre plus de 550 milliards aujourd’hui, rendant le piratage de Coincheck largement moins spectaculaire en proportion. En comparaison, le braquage physique des City Bonds à Londres en 1990 avait causé le vol de 292 millions de livres, soit 780 millions de dollars actuels.

Le NEM a perdu 23 % de sa valeur à la suite de l’attaque avant de reprendre sa valeur initiale après une journée. 500 millions de NEM ont été volés alors que la cryptomonnaie était cotée à environ 1 dollar l’unité. La valeur du trésor est donc amenée à fluctuer avec le temps. Le butin de MtGox, dont 650 000 bitcoins sont encore dans la nature, s’élève ainsi aujourd’hui à presque 7 milliards de dollars (!).

nem-hack-value

Source : coinmarketcap.com

D’où venait la faille ?

Normalement, les grosses quantités de cryptomonnaie sont stockées pour plus de sécurité dans des cold wallets, des sortes de coffres-forts hors ligne. Or, comme beaucoup de plateformes de cryptotrading, Coincheck se trouvait être débordée par l’affluence de clients et ne parvenait à suivre ni en infrastructure ni en personnel. Les NEM ont ainsi été placés au chaud dans des hot wallets, portefeuilles en ligne.

Or, ces portefeuilles étaient dépourvus de multisignature, une négligence de sécurité assez importante. La multisig, de son petit nom, permet par exemple le système suivant : si Alice veut envoyer de la cryptomonnaie à Bob, elle transfère les fonds sur une adresse multisig. Les deux individus doivent alors « signer » conjointement à cette adresse pour que Bob récupère l’argent. S’il y a un différend — mettons qu’Alice se soit fait pirater son portefeuille et qu’elle clame n’avoir jamais eu l’intention d’en verser le contenu à Bob — les deux parties font appel à un tiers, qui tranche en accordant sa signature à l’un ou à l’autre.

Comment ont réagi les développeurs de NEM ?

En cas d’accident majeur sur une blockchain, il est d’usage pour les équipes de développement de la cryptodevise d’effectuer un hard fork, c’est-à-dire de fendre la chaîne de blocs en deux pour appliquer l’équivalent d’une intervention étatique et bloquer les fonds détournés. C’est ce qui était arrivé sur Ethereum en 2016 avec la faillite de la DAO, fonds d’investissement qui a dû être renfloué après un piratage massif et qui a causé le débranchement des protestataires en Ethereum Classic.

Or, le piratage étant lié à une faille sur une plateforme en particulier, l’équipe de NEM a préféré mettre en place un système de traçage permettant de localiser le butin. Imaginez un système de sécurité dans une banque qui vaporise un spray indélébile sur les cambrioleurs et les lingots qu’ils volent. Ainsi, si les hackeurs tentent de déposer leurs NEM sur une autre plateforme pour les échanger ou les blanchir, ledit site pourra immédiatement savoir qu’il s’agit d’argent sale. Appliqué rétroactivement sur les fonds siphonnés de Coincheck, le traçage serait effectif pour tout braquage ultérieur de NEM. L’équipe s’est ainsi congratulée sur Twitter :

En ce qui concerne les détenteurs de cryptomonnaie, la règle de base s’applique toujours : toute somme importante doit être précieusement gardée dans un cold wallet physique chez soi. À condition, bien sûr, de ne pas être du genre à perdre tout le temps ses affaires…


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !