{"id":19222,"date":"2022-07-28T15:26:38","date_gmt":"2022-07-28T13:26:38","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=19222"},"modified":"2022-07-28T15:26:38","modified_gmt":"2022-07-28T13:26:38","slug":"sky-mavis-crypto-heist","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/sky-mavis-crypto-heist\/19222\/","title":{"rendered":"Un demi-milliard de dollars en cryptomonnaie vol\u00e9"},"content":{"rendered":"

Nous vous parlons souvent d\u2019arnaques qui promettent des montagnes d\u2019or<\/a> alors qu\u2019elles ne font que vider votre compte en banque. De m\u00eame, les cybercriminels peuvent mettre la main sur les fonds d\u2019une entreprise en exploitant l\u2019avidit\u00e9 des employ\u00e9s et leur manque d\u2019attention.<\/p>\n

C\u2019est exactement ce qui s\u2019est pass\u00e9 avec le syst\u00e8me de blockchain Ronin Networks, cr\u00e9\u00e9 par Sky Mavis pour le jeu Play To Earn<\/em> (P2E) Axie Infinity<\/em>. Un employ\u00e9 de Sky Mavis a t\u00e9l\u00e9charg\u00e9 un fichier PDF qui contenait un logiciel espion (spyware<\/em>), ce qui a donn\u00e9 lieu \u00e0 un des plus gros vols de cryptomonnaie de l\u2019histoire. L\u2019entreprise a perdu 173 600 ETH et 25,5 millions de USDC, soit pr\u00e8s de 540 millions de dollars au moment de l\u2019incident. Nous analysons cette attaque en d\u00e9tail et vous donnons quelques conseils pour vous prot\u00e9ger.<\/p>\n

Quelques mots sur Axie Infinity<\/em> et Ronin Networks<\/h2>\n

Axie Infinity<\/em> est un jeu vid\u00e9o en ligne o\u00f9 les joueurs gagnent de la cryptomonnaie gr\u00e2ce \u00e0 des cr\u00e9atures fantastiques connues comme \u00ab\u00a0axies\u00a0\u00bb qui peuvent \u00eatre \u00ab\u00a0\u00e9lev\u00e9es\u00a0\u00bb afin de faire des comp\u00e9titions et d\u2019\u00eatre revendues aux autres joueurs. Pour les amateurs de jeu vid\u00e9o, les \u00ab\u00a0axies\u00a0\u00bb sont des animaux adorables, mais ce sont surtout des jetons non fongibles (NFT).<\/p>\n

Sorti en 2018, Axie Infinity<\/em> a rapidement attir\u00e9 l\u2019attention du public. \u00c0 son apog\u00e9e, les joueurs pouvaient tellement gagner que, dans certaines r\u00e9gions, et notamment en Asie du Sud-Est, ce jeu est devenu un travail \u00e0 temps complet<\/a>. En novembre 2021, il a battu son propre record avec 2,7 millions<\/a> de joueurs par jour et le chiffre d\u2019affaires de l\u2019an dernier a atteint 215 millions de dollars par semaine<\/a>. Pourtant, pendant l\u2019\u00e9t\u00e9 2022, l\u2019entreprise ne gagne qu\u2019un million de dollars par semaine.<\/p>\n

Dans l\u2019\u00e9cosyst\u00e8me Axie Infinity, les paiements se font dans la monnaie du jeu, Smooth Love Potion<\/a> (SLP), et cette derni\u00e8re est bas\u00e9e sur la blockchain Ethereum. Pour que les joueurs puissent facilement acheter et vendre leur SLP en une cryptomonnaie courante sans avoir \u00e0 payer de frais \u00e9lev\u00e9s, les d\u00e9veloppeurs ont cr\u00e9\u00e9 la plateforme Ronin<\/a>. C\u2019est cette plateforme qui a attir\u00e9 l\u2019attention des cybercriminels.<\/p>\n

Une offre all\u00e9chante : comment les escrocs ont dup\u00e9 les d\u00e9veloppeurs<\/h2>\n

Pour acc\u00e9der \u00e0 la plateforme, les cybercriminels ont lanc\u00e9 une attaque cibl\u00e9e<\/a> sur les employ\u00e9s de Sky Mavis. Ils ont recueilli des informations sur l\u2019entreprise et ont \u00e9labor\u00e9 une arnaque \u00e0 partir d\u2019une offre d\u2019emploi et d\u2019un salaire tr\u00e8s attrayant.<\/p>\n

Cette m\u00e9thode consistait \u00e0 envoyer (tr\u00e8s certainement sur LinkedIn) cette offre d\u2019emploi s\u00e9duisante \u00e0 un ing\u00e9nieur sup\u00e9rieur, qui aurait d\u00fb faire plus attention. Apr\u00e8s avoir pass\u00e9 haut la main toutes les \u00e9tapes du processus de s\u00e9lection, l\u2019employ\u00e9 a, comme on pouvait s\u2019y attendre, re\u00e7u cette offre merveilleuse sous la forme d\u2019un fichier PDF. Une fois le fichier t\u00e9l\u00e9charg\u00e9, le logiciel espion s\u2019est lib\u00e9r\u00e9 et \u00e9tait pr\u00eat \u00e0 se propager dans le r\u00e9seau de l\u2019entreprise.<\/p>\n

Le logiciel espion passe \u00e0 l\u2019action : le retrait des fonds<\/h2>\n

Les cybercriminels ont utilis\u00e9 un programme malveillant pour acc\u00e9der aux cl\u00e9s priv\u00e9es<\/a> des validateurs<\/a> du r\u00e9seau, ceux qui v\u00e9rifient et confirment les transactions en cryptomonnaie. Il y avait neuf validateurs dans Ronin Networks au moment de l\u2019attaque, et au moins cinq d\u2019entre eux devaient valider le virement pour le confirmer. Finalement, les cybercriminels ont r\u00e9ussi \u00e0 compromettre quatre validateurs au sein de l\u2019entreprise et un cinqui\u00e8me dans l\u2019organisation autonome d\u00e9centralis\u00e9e Axie DAO<\/a>, un endroit o\u00f9 cela aurait d\u00fb \u00eatre impossible, si ce n\u2019est \u00e0 cause d\u2019une n\u00e9gligence de Sky Mavis.<\/p>\n

Il s\u2019av\u00e8re qu\u2019en novembre 2021, \u00e0 cause du volume important de transactions et de la charge de travail des validateurs, l\u2019entreprise a autoris\u00e9 Axie DAO \u00e0 valider les virements. Un mois apr\u00e8s, les choses s\u2019\u00e9taient calm\u00e9es et l\u2019entreprise n\u2019avait plus besoin de l\u2019aide d\u2019Axie DAO. Pourtant, les droits de validation des transactions ne lui ont pas \u00e9t\u00e9 retir\u00e9s, ce qui a jou\u00e9 en faveur des cybercriminels. Apr\u00e8s \u00eatre entr\u00e9s dans le syst\u00e8me de Sky Mavis, les escrocs ont eu acc\u00e8s \u00e0 Axie DAO, ce qui leur a permis d\u2019obtenir le cinqui\u00e8me validateur dont ils avaient besoin pour retirer les fonds et les transf\u00e9rer des comptes des utilisateurs vers le leur.<\/p>\n

\u00a0<\/p>\n

La r\u00e9ponse de Sky Mavis<\/h2>\n

Lorsque l\u2019attaque a \u00e9t\u00e9 d\u00e9couverte, Sky Mavis a agi de mani\u00e8re responsable et a pris des mesures pour renforcer la s\u00e9curit\u00e9. L\u2019entreprise a fait appel aux experts en s\u00e9curit\u00e9 de Verichains et CertiK et a r\u00e9alis\u00e9 un audit minutieux de Ronin Networks<\/a>. Sky Mavis a aussi augment\u00e9 le nombre de validateurs (11 d\u00e9sormais), et a promis que ce chiffre allait augmenter progressivement afin d\u2019en avoir au moins 100. Plus le nombre total de validateurs est \u00e9lev\u00e9, plus il faut en compromettre pour effectuer des transactions non autoris\u00e9es. Ainsi, la hausse de ce nombre devrait, en th\u00e9orie, rendre les attaques plus difficiles.<\/p>\n

\u00c9tant donn\u00e9 que les fonds vol\u00e9s appartiennent aux joueurs d\u2019Axie Infinity<\/em>, depuis le 28 juin, Sky Mavis a commenc\u00e9 \u00e0 verser une indemnisation aux victimes. Pour ce faire, l\u2019entreprise a tir\u00e9 profit de ses ressources internes et des 150 millions de dollars que Binance lui a remis d\u00e9but avril.<\/p>\n

\u00a0<\/p>\n

Comment vous prot\u00e9ger<\/h2>\n

Lorsque les cybercriminels planifient une attaque cibl\u00e9e, ils \u00e9tudient minutieusement la victime afin de d\u00e9couvrir ses points faibles. Il peut s\u2019agir de failles de s\u00e9curit\u00e9 dans les dispositifs et les programmes, ou d\u2019un facteur humain. M\u00eame si les \u00ab\u00a0h\u00e9ros\u00a0\u00bb de cet article ont de l\u2019exp\u00e9rience en informatique et sont des sp\u00e9cialistes, les escrocs ont r\u00e9ussi \u00e0 les duper. Pour \u00e9viter de vivre la m\u00eame situation et pour prot\u00e9ger vos donn\u00e9es, votre argent et vos jetons, vous devez faire attention et ne pas n\u00e9gliger les mesures de s\u00e9curit\u00e9.<\/p>\n