{"id":19684,"date":"2022-11-08T12:05:36","date_gmt":"2022-11-08T10:05:36","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=19684"},"modified":"2022-11-08T12:05:36","modified_gmt":"2022-11-08T10:05:36","slug":"top-5-cryptocurrency-heists","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/top-5-cryptocurrency-heists\/19684\/","title":{"rendered":"Les 5 vols de cryptomonnaie les plus importants"},"content":{"rendered":"

La cryptomonnaie est la cible id\u00e9ale pour les cybercriminels\u00a0: elle peut \u00eatre vol\u00e9e de diverses fa\u00e7ons et r\u00e9cup\u00e9rer les fonds est presque mission impossible pour les victimes. Certains cybercriminels gagnent une v\u00e9ritable fortune gr\u00e2ce aux attaques qui visent les \u00e9changes de cryptomonnaie\u00a0: des dizaines voire des centaines de millions de dollars. Cet article analyse les 5 vols les plus importants au cours de l\u2019histoire relativement r\u00e9cente des cryptomonnaies. Nous vous avons laiss\u00e9 un bonus \u00e0 la fin\u00a0: l\u2019histoire incroyable d\u2019un vol de cryptomonnaies digne d\u2019un film sur Netflix\u2026<\/p>\n

\u00a0<\/p>\n

5.<\/strong> La cl\u00e9 Skeleton<\/strong><\/p>\n

Victime : <\/strong>Plateforme d\u2019\u00e9change de cryptomonnaies KuCoin<\/p>\n

Date : <\/strong>26 septembre 2020<\/p>\n

Perte : <\/strong>environ 285 millions de dollars<\/p>\n

Dans la nuit du 25 au 26 septembre, les agents de s\u00e9curit\u00e9 de l\u2019entreprise KuCoin bas\u00e9e \u00e0 Singapour ont d\u00e9tect\u00e9<\/a> plusieurs transactions anormales dans des hot wallets. Pour mettre fin \u00e0 ces transactions douteuses, ils ont transf\u00e9r\u00e9 tous les actifs restants des portefeuilles compromis \u00e0 un lieu de stockage hors-ligne (cold wallet)<\/a>. L\u2019indicent a dur\u00e9 pr\u00e8s de deux heures, du moment o\u00f9 il a \u00e9t\u00e9 d\u00e9tect\u00e9 \u00e0 sa r\u00e9solution. Pendant ce temps, les cybercriminels ont pu retirer pr\u00e8s de 285 millions<\/a> de dollars en plusieurs cryptomonnaies.<\/p>\n

L\u2019enqu\u00eate a r\u00e9v\u00e9l\u00e9 que les cybercriminels avaient eu acc\u00e8s aux cl\u00e9s priv\u00e9es des hot wallets. Lazarus Group, un cyber-gang d\u2019APT<\/a> de Cor\u00e9e du Nord, \u00e9tait le principal suspect. Cela a \u00e9t\u00e9 possible parce que les escrocs ont utilis\u00e9 un algorithme \u00e0 plusieurs \u00e9tapes pour blanchir les fonds, tout comme le groupe Lazarus l\u2019a fait pour d\u2019autres attaques. Ils passent d\u2019abord la m\u00eame somme de crypto par un mixeur de cryptomonnaie<\/a> (un outil qui m\u00e9lange les diff\u00e9rents fonds en cryptomonnaie afin de brouiller les pistes) puis transf\u00e8rent la cryptomonnaie en utilisant des plateformes d\u00e9centralis\u00e9es<\/a>.<\/p>\n

Malgr\u00e9 son ampleur, cet incident n\u2019a pas \u00e9t\u00e9 la fin des \u00e9changes de cryptomonnaies. Le lendemain apr\u00e8s le vol, le PDG de KuCoin, Johnny Lyu, a promis lors d\u2019un streaming en direct qu\u2019il allait rembourser les fonds vol\u00e9s. Lyu a tenu sa promesse et en novembre 2020 il a publi\u00e9 un tweet qui annon\u00e7ait que 84 % des actifs affect\u00e9s avaient \u00e9t\u00e9 rendus \u00e0 leurs propri\u00e9taires<\/a>. Les 16 % restants ont \u00e9t\u00e9 pris en charge<\/a> par l\u2019assurance de KuCoin.<\/p>\n

4. De l\u2019argent tomb\u00e9 du ciel<\/strong><\/p>\n

Victime : <\/strong>Pont de transfert entre blockchains Wormhole<\/p>\n

Date : <\/strong>2 f\u00e9vrier 2022<\/p>\n

Perte : <\/strong>334 millions de dollars<\/p>\n

L\u2019histoire suivante de notre top 5 est celle d\u2019un vol qui s\u2019est servi d\u2019une vuln\u00e9rabilit\u00e9 de Wormhole, un protocole de pont qui permet de transf\u00e9rer des actifs entre diff\u00e9rentes blockchains<\/a>. Les cybercriminels ont \u00e9t\u00e9 avantag\u00e9s puisque les d\u00e9veloppeurs de la plateforme avaient rendu le code de programmation public. Mais reprenons depuis le d\u00e9but\u2026<\/p>\n

Wormhole est un outil qui sert de m\u00e9diateur entre les transactions de cryptomonnaie. Ainsi, il permet aux utilisateurs de d\u00e9placer les tokens entre les r\u00e9seaux Ethereum et Solana. Techniquement parlant, l\u2019\u00e9change fonctionne de cette fa\u00e7on\u00a0: les tokens de la premi\u00e8re cha\u00eene sont gel\u00e9s pendant que des \u00a0\u00bb\u00a0wrapped tokens\u00a0\u00a0\u00bb de la m\u00eame valeur sont \u00e9mis dans l\u2019autre cha\u00eene.<\/p>\n

Wormhole est un projet open-source qui a son propre r\u00e9pertoire sur GitHub. Peu de temps avant le vol, les d\u00e9veloppeurs y ont plac\u00e9 le code afin de corriger une vuln\u00e9rabilit\u00e9 du protocole. Les cybercriminels en ont profit\u00e9 pour exploiter la vuln\u00e9rabilit\u00e9<\/a> avant que les modifications ne soient appliqu\u00e9es.<\/p>\n

Ce bug leur a permis de contourner la v\u00e9rification des transactions du c\u00f4t\u00e9 de Solana et d\u2019\u00e9mettre 120 000 \u00a0\u00bb\u00a0ETH wrapp\u00e9s\u00a0\u00a0\u00bb (environ 334 millions de dollars au moment de l\u2019attaque) sans avoir \u00e0 geler le montant \u00e9quivalent sur la blockchain d\u2019Ethereum. Les cybercriminels ont transf\u00e9r\u00e9 les deux tiers du montant vers un portefeuille Ethereum et ont utilis\u00e9 le reste de la somme pour acheter d\u2019autres tokens.<\/p>\n

Wormhole a publiquement demand\u00e9 aux cybercriminels de rendre les fonds vol\u00e9s et a d\u00e9taill\u00e9 l\u2019exploit en promettant une r\u00e9compense de 10 millions de dollars<\/a>. Les cybercriminels ont ignor\u00e9 cette offre g\u00e9n\u00e9reuse.<\/p>\n

Le lendemain apr\u00e8s le vol, Wormhole a publi\u00e9 sur Twitter afin d\u2019indiquer que tous les fonds avaient \u00e9t\u00e9 r\u00e9cup\u00e9r\u00e9s et que le pont \u00e9tait op\u00e9rationnel. Jump Trading a combl\u00e9 le trou financier\u00a0; l\u2019entreprise avait achet\u00e9 le d\u00e9veloppeur Wormhole six mois avant l\u2019incident. \u00c0 en juger par les informations en open-source, les personnes \u00e0 l\u2019origine de cette attaque n\u2019ont toujours pas \u00e9t\u00e9 identifi\u00e9es.<\/p>\n

3. Un vol qui a dur\u00e9 trois ans<\/strong><\/p>\n

Victime : <\/strong>Plateforme d\u2019\u00e9change de cryptomonnaies Mt.Gox<\/p>\n

Date : <\/strong>f\u00e9vrier 2014<\/p>\n

Perte : <\/strong>480 millions de dollars<\/p>\n

L\u2019histoire de Mt-Gox remonte<\/a> \u00e0 2007, lorsque c\u2019\u00e9tait une plateforme qui permettait d\u2019\u00e9changer les cartes du jeu Magic\u00a0: L\u2019Assembl\u00e9e<\/a>. Trois ans plus tard, en plein succ\u00e8s grandissant des cryptomonnaies, le propri\u00e9taire du site, le programmeur am\u00e9ricain Jed McCaleb, a d\u00e9cid\u00e9 de la transformer en plateforme d\u2019\u00e9change de cryptomonnaies, puis a vendu le service au d\u00e9veloppeur fran\u00e7ais Mark Karpel\u00e8s en 2011. Deux ans plus tard, Mt.Gox repr\u00e9sentait pr\u00e8s de 70 % des \u00e9changes<\/a> de l\u2019univers Bitcoin.<\/p>\n

Cette augmentation rapide a \u00e9t\u00e9 suivie d\u2019une chute fatale. Le 7 f\u00e9vrier 2014, l\u2019\u00e9change a soudainement bloqu\u00e9 tous les retraits de Bitcoin. L\u2019entreprise a expliqu\u00e9 que c\u2019\u00e9tait d\u00fb \u00e0 des probl\u00e8mes techniques<\/a>. Les clients outr\u00e9s se sont rassembl\u00e9s devant le si\u00e8ge de Mt.Gox \u00e0 Tokyo et ont demand\u00e9 que leur argent leur soit rendu. Leur requ\u00eate est tomb\u00e9e dans l\u2019oreille d\u2019un sourd.<\/p>\n

Le plus remarquable dans cette histoire est que le vol de Mt.Gox a d\u00e9but\u00e9 en 2011. \u00c0 cette \u00e9poque, des cybercriminels inconnus ont obtenu<\/a> les cl\u00e9s priv\u00e9e d\u2019un hot wallet sur la plateforme et l\u2019ont vid\u00e9 petit-\u00e0-petit. En 2013, les cybercriminels avaient 630 000 BTC sur leurs comptes.<\/p>\n

Mt.Gox \u00e0 d\u00e9finitivement arr\u00eater les \u00e9changes le 28 f\u00e9vrier 2014 lorsque Karpel\u00e8s a d\u00e9clar\u00e9<\/a> que l\u2019entreprise \u00e9tait en faillite et s\u2019est excus\u00e9 pour les faiblesses du syst\u00e8me qui ont permis aux escrocs de voler pr\u00e8s de 750 000 BTC aux clients et 100 000 BTC des fonds de l\u2019entreprise. On estime que pr\u00e8s de 480 millions de dollars ont \u00e9t\u00e9 vol\u00e9s, ce qui correspond \u00e0 la valeur de tous les jetons vol\u00e9s au taux de change la veille de l\u2019annonce de la faillite, le 27 f\u00e9vrier.<\/p>\n

Il convient toutefois de souligner qu\u2019apr\u00e8s que Mt.Gox a cess\u00e9 les \u00e9changes et avant que l\u2019entreprise ne soit en faillite, le prix du Bitcoin avait lourdement chut\u00e9. Si nous prenons comme r\u00e9f\u00e9rence le taux de change du 6 f\u00e9vrier (la veille de la fermeture r\u00e9elle de la plateforme), les pertes s\u2019\u00e9l\u00e8veraient \u00e0 pr\u00e8s de 660 millions de dollars. Pourtant, ces deux chiffres sont ind\u00e9cis\u00a0: ils ne prennent pas en compte que le vol a dur\u00e9 pendant trois ans et qu\u2019au cours de cette p\u00e9riode le taux de change a subi d\u2019importantes fluctuations. Il est difficile de calculer le montant exact des d\u00e9g\u00e2ts.<\/p>\n

\"Taux

Taux de change de Bitcoin en f\u00e9vrier 2014. Source<\/a>.<\/p><\/div>\n

\u00a0<\/p>\n

Comment cette attaque \u00e9tait-elle possible ? Selon les anciens employ\u00e9s, l\u2019entreprise ne g\u00e9rait pas bien les probl\u00e8mes importants. Par exemple, Mt.Gox avait de graves probl\u00e8mes avec les rapports financiers. De plus, un v\u00e9ritable audit de qualit\u00e9 et de s\u00e9curit\u00e9 du code n\u2019avait jamais \u00e9t\u00e9 effectu\u00e9. Ainsi, il n\u2019y avait aucune version du syst\u00e8me de contr\u00f4le.<\/p>\n

Les procureurs ont poursuivi<\/a> le propri\u00e9taire de Mt.Gox, Karpel\u00e8s, en justice pour d\u00e9tournement d\u2019une valeur de 3 millions de dollars des fonds des clients. Ils n\u2019ont pourtant pas r\u00e9ussi \u00e0 le prouver au tribunal. Finalement, Karpel\u00e8s n\u2019a re\u00e7u qu\u2019une condamnation avec sursis de deux ans et six mois pour manipulation des donn\u00e9es et a \u00e9t\u00e9 acquitt\u00e9s des autres charges.<\/p>\n

\u00a0<\/p>\n

2. Pr\u00e8s d\u2019un demi-milliard<\/strong><\/p>\n

Victime : <\/strong>Plateforme d\u2019\u00e9change de cryptomonnaies Coincheck<\/p>\n

Date : <\/strong>26 janvier, 2018<\/p>\n

Perte : <\/strong>496 millions de dollars<\/p>\n

Coincheck est une des plateformes d\u2019\u00e9change de cryptomonnaies les plus importantes au Japon. En 2018, les cybercriminels ont r\u00e9ussi \u00e0 voler<\/a> plus de 500 millions de tokens NEM qui avaient une valeur similaire en dollars.<\/p>\n

L\u2019entreprise avait d\u00e9clar\u00e9 que son syst\u00e8me de s\u00e9curit\u00e9 \u00e9tait robuste et n\u2019avait pas expliqu\u00e9 pr\u00e9cis\u00e9ment comment les intrus avaient r\u00e9alis\u00e9 l\u2019attaque. Cela \u00e9tant dit, certains experts pensent que les cybercriminels avaient eu acc\u00e8s aux cl\u00e9s priv\u00e9es de hot wallets de Coincheck gr\u00e2ce \u00e0 un programme malveillant int\u00e9gr\u00e9 dans l\u2019ordinateur d\u2019un des bureaux de l\u2019entreprise.<\/p>\n

Les cybercriminels avaient aussi cr\u00e9\u00e9 un site qui vendait les tokens NEM pour des Bitcoin ou d\u2019autres cryptomonnaies avec une r\u00e9duction de 15 %. Par cons\u00e9quent, le taux de change de NEM a chut\u00e9 de fa\u00e7on significative et Coincheck a perdu pr\u00e8s de 500 millions de dollars, ce qui n\u2019a pas entra\u00een\u00e9 la fermeture de la plateforme. De plus, les criminels ne pouvaient pas \u00eatre suivis. La plateforme a d\u00fb suspendre toutes les op\u00e9rations pendant un certain temps et a promis aux clients qu\u2019ils recevraient une indemnisation qui viendrait des fonds de l\u2019entreprise.<\/p>\n

\u00a0<\/p>\n

\"Taux

Taux de change de NEM apr\u00e8s l\u2019\u00a1incident de Coincheck. Source<\/a><\/p><\/div>\n

\u00a0<\/p>\n

1. Une offre d\u2019emploi avec une surprise<\/strong><\/p>\n

Victime : <\/strong>La plateforme de blockchain Ronin Network<\/p>\n

Date : <\/strong>3 mars 2022<\/p>\n

Perte : <\/strong>540 millions de dollars<\/p>\n

La plateforme Ronin Network a sp\u00e9cialement \u00e9t\u00e9 cr\u00e9\u00e9e par Sky Mavis pour le jeu Axie Infinity<\/a>, afin que les joueurs puissent acheter la monnaie du jeu, Smooth Love Potion (SLP)<\/a>. Fin mars 2022, des cybercriminels inconnus ont vol\u00e9 la somme record de 540 millions de dollars en cryptomonnaie \u00e0 Ronin. Ils \u00e9t\u00e9 aid\u00e9s par un logiciel espion et la magie de l\u2019ing\u00e9nierie sociale.<\/p>\n

L\u2019attaque cibl\u00e9e<\/a> visait les employ\u00e9s de Sky Mavis, et il semblerait qu\u2019un ait mordu \u00e0 l\u2019hame\u00e7on (s\u00fbrement sur LinkedIn). Apr\u00e8s avoir pass\u00e9 un \u00a0\u00bb\u00a0processus de s\u00e9lection\u00a0\u00ab\u00a0, un des ing\u00e9nieurs sup\u00e9rieurs a re\u00e7u une \u00a0\u00bb\u00a0offre d\u2019emploi\u00a0\u00a0\u00bb sous la forme d\u2019un fichier PDF qui contenait un logiciel espion. Cela a permis aux voleurs de prendre le contr\u00f4le de quatre des cl\u00e9s priv\u00e9es de validation<\/a> du r\u00e9seau.<\/p>\n

Afin d\u2019avoir acc\u00e8s aux actifs de l\u2019entreprise, les escrocs devaient compromettre au moins cinq des neuf outils de validation. Comme nous l\u2019avons dit, le logiciel espion leur a permis d\u2019en obtenir quatre. Ils ont obtenu le cinqui\u00e8me \u00e0 cause d\u2019une erreur de l\u2019entreprise, qui avait autoris\u00e9 Axie DAO (organisation autonome d\u00e9centralis\u00e9e<\/a>) \u00e0 signer les transactions afin d\u2019aider Ronin Network \u00e0 r\u00e9duire le volume utilisateur, puis a oubli\u00e9 de retirer l\u2019autorisation.<\/p>\n

Pourtant, Sky Mavis a rapidement r\u00e9solu l\u2019incident. L\u2019entreprise a relanc\u00e9 la plateforme de blockchain en juin 2022 et a commenc\u00e9 \u00e0 indemniser les joueurs affect\u00e9s.<\/p>\n

\"Personnage

Personnage NFT du jeu Axie Infinity base sur la blockchain. Replica<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Bonus. Un piratage avec un remboursement<\/strong><\/p>\n

Cible :<\/strong> Protocole Poly Network<\/p>\n

Date : <\/strong>10 ao\u00fbt 2021<\/p>\n

Perte (r\u00e9cup\u00e9r\u00e9e par la suite): <\/strong>610 millions de dollars<\/p>\n

Comme histoire bonus, finissons avec un vol colossal de cryptomonnaie, qui a fini avec le remboursement de chaque centime. Voyons ce qui s\u2019est pass\u00e9\u2026<\/p>\n

Poly Network<\/a> est un autre protocole qui permet l\u2019interop\u00e9rabilit\u00e9 de la blockchain. Le vol de cryptomonnaies le plus histoire de l\u2019histoire a eu lieu lors de l\u2019\u00e9t\u00e9 2021. Un cybercriminel anonyme a exploit\u00e9 une vuln\u00e9rabilit\u00e9 de Poly Network et a vol\u00e9 plus de 600 millions de dollars en diverses cryptomonnaies<\/a>.<\/p>\n

Poly Network a demand\u00e9<\/a> sur Twitter \u00e0 la personne \u00e0 l\u2019origine de l\u2019attaque de rendre les tokens vol\u00e9s. Tout le monde a \u00e9t\u00e9 surpris de voir que le cybercriminel a contact\u00e9 l\u2019entreprise<\/a> et a accept\u00e9. Le voleur a effectu\u00e9 le transfert des tokens vol\u00e9s bit apr\u00e8s bit et les a divis\u00e9s en plusieurs parties in\u00e9gales.<\/p>\n

L\u2019\u00e9change en ligne entre le cybercriminel et Poly Network a dur\u00e9 un certain temps. Au cours de cette p\u00e9riode, l\u2019escroc a expliqu\u00e9 que l\u2019argent ne l\u2019int\u00e9ressait pas et qu\u2019il avait fait ce vol pour des \u00ab\u00a0raisons id\u00e9ologiques\u00a0\u00bb. Pour le remercier, Poly Network a retir\u00e9 sa plainte, a garanti son anonymat, lui a donn\u00e9 une r\u00e9compense<\/a> de 500 000 dollars et lui a propos\u00e9 de devenir son consultant principal en s\u00e9curit\u00e9. L\u2019entreprise a aussi mis en place un programme bug-bounty<\/a> de 500 000 dollars.<\/p>\n

\u00a0<\/p>\n

Ces histoires n\u2019ont pas vraiment de morale mais\u2026<\/strong><\/p>\n

Nous avons parl\u00e9 de cinq des meilleurs vols de cryptomonnaies, et tous avaient pris pour cible de grandes entreprises. \u00c9videmment, d\u2019autres incidents mineurs ne cessent d\u2019affecter les utilisateurs ordinaires. Ainsi, chaque investisseur doit prendre quelques pr\u00e9cautions pour s\u00e9curiser ses actifs. Voici quelques conseils pratiques\u00a0:<\/p>\n