histats

Corée du Nord, NFT et un jeu vidéo populaire : à l’intérieur d’un vol de crypto-monnaie de 500 millions de dollars | Chaîne de blocs

Corée du Nord, NFT et un jeu vidéo populaire : à l’intérieur d’un vol de crypto-monnaie de 500 millions de dollars |  Chaîne de blocs

Lmangé le mois dernier, les pirates se sont échappés avec ce qui valait alors plus de 500 millions de dollars des systèmes du réseau de crypto-monnaie Ronin, dans ce que l’on pense être le deuxième plus grand vol de crypto-monnaie enregistré.

Ronin était une cible juteuse pour un hacker. Le projet blockchain prend en charge le jeu vidéo extrêmement populaire Axie Infinity, qui, avec environ 8 millions de joueurs, a fait des comparaisons avec des objets de collection axés sur l’action tels que Pokémon Go.

Axie Infinity est chaud et implique des sommes importantes. Les joueurs achètent des créatures appelées Axies sous la forme de NFT, des actifs numériques uniques connus sous le nom de jetons non fongibles. Les créatures peuvent se reproduire, se battre et même être échangées contre de l’argent froid et dur.

Le jeu a gagné en popularité car les joueurs voient le potentiel de gagner de l’argent réel. En 2020, un joueur philippin de 22 ans aura acheté deux appartements à Manille avec ses revenus du jeu. L’année dernière, un autre joueur a déclaré qu’il gagnait plus grâce à Axie Infinity et à d’autres jeux en ligne que grâce à son travail à plein temps chez Goldman Sachs.

Mais la base du jeu fait face à des défis de sécurité importants. Pour jouer, les joueurs doivent déplacer leur argent d’Ethereum vers Ronin sur un système de “pont” blockchain. Ronin est une “chaîne latérale” d’Ethereum – une solution de mise à l’échelle qui permet aux transactions de se produire plus rapidement que sur Ethereum, qui est surchargé par la quantité d’activité qu’il héberge. L’hébergement du jeu sur cette chaîne latérale garantit qu’il peut se développer sans perdre de fonctionnalité. Les ponts peuvent contenir beaucoup d’argent à la fois, donc en visant Ronin Bridge qui a transféré les actifs des joueurs entre les blockchains, les pirates ont pris le contrôle des actifs et ont emporté l’argent.

See also  Exploration historique des louveteaux : édition des années 1940
Corée du Nord, NFT et un jeu vidéo populaire : à l’intérieur d’un vol de crypto-monnaie de 500 millions de dollars |  Chaîne de blocs
Les actifs du jeu appelé “Axies” sont visibles sur cette image de paiement non datée du jeu basé sur la blockchain Axie Infinity Photo: Sky Mavis / Reuters

Le gouvernement américain a déclaré cette semaine qu’il pensait que des pirates nord-coréens étaient à l’origine du vol. Mais ce n’est que la dernière d’une série de crypto-monnaies effrontées de haut niveau. En 2018, plus de 530 millions de dollars ont été volés à l’échange de crypto-monnaie Coincheck. En février, des hackers se sont échappés avec 320 millions de dollars de la plateforme financière décentralisée Wormhole (bien que le butin ait finalement été restitué). Et le même mois, dans peut-être le cybercrime le plus publié de cette année, l’accusation a accusé l’étrange couple Ilya “Dutch” Lichtenstein et sa femme, Heather Morgan, – également connues pour leurs rappeurs cruels sur TikTok sous le nom de Razzlekhan – de complot en vue de blanchir bitcoin d’une valeur de plusieurs milliards de dollars volé à l’échange de crypto Bitfinex en 2016.

C’est une tendance. En 2021, 3,2 milliards de dollars de crypto-monnaies ont été volés à des particuliers et à des services, selon un rapport sur les crypto-monnaies de Chainalysis, une société qui fournit des données et des analyses de blockchain aux banques, aux gouvernements et à d’autres entreprises. (Ronin travaille également sur Chainalysis pour suivre les fonds qui ont été volés dans le piratage, selon Reuters.) Le nombre est près de six fois supérieur au montant volé en 2020. Jusqu’à présent cette année, plus d’un milliard de dollars ont déjà été volé, selon les experts de Chainalysis et d’autres sociétés de sécurité.

Vulnérabilités dans les contrats intelligents

Les hacks très médiatisés et l’argent important impliqué ont soulevé des questions sur la vulnérabilité de la blockchain – longtemps considérée comme un refuge sûr pour stocker des actifs – à de telles violations.

Certains experts disent que l’augmentation des rapports de vol de crypto-monnaie survient alors que la crypto-monnaie est plus répandue et mieux comprise que jamais.

“Vous avez essentiellement beaucoup d’argent sur la table, et sur une table très publique”, a déclaré Nicolas Christin, professeur agrégé à l’Université Carnegie Mellon qui étudie la cybercriminalité et la sécurité informatique et réseau. Avec de grosses sommes d’argent circulant publiquement sur ces systèmes transparents, il peut être tentant pour un pirate de se jeter dehors.

Pour comprendre comment ces vols sont possibles, il est important de faire la distinction entre la blockchain et les autres programmes qui fonctionnent dessus, disent les experts. La blockchain elle-même est un registre public décentralisé qui permet des transactions peer-to-peer. C’est la couche de base sur laquelle bitcoin, Ethereum ou Solana sont construits.

La deuxième couche – celle qui est souvent exploitée – est constituée de contrats intelligents qui s’exécutent au-dessus des chaînes de blocs. Les contrats intelligents sont des accords en code qui sont automatiquement exécutés lorsque les termes du contrat sont remplis. L’analogie habituelle est celle d’un distributeur automatique numérique – choisissez un produit, entrez le montant correct et votre article sera livré automatiquement. Ces contrats sont irréversibles.

Les pirates informatiques se frayent un chemin vers l’argent via ces systèmes de second niveau en profitant des erreurs dans le code ou en obtenant les clés privées qui leur permettront d’accéder aux systèmes, a expliqué Christin. Certains pirates sapent même les contrats intelligents pour rediriger les fonds entre leurs mains.

Dans le hack Axie Infinity, qui visait Ronin Bridge, le pirate a obtenu suffisamment de clés privées pour contrôler le pont et vider les fonds. Étant donné que tant d’utilisateurs avaient leurs effets personnels dans le pont, le paiement était énorme.

“Le protocole de blockchain sous-jacent est sécurisé”, a déclaré Ronghui Gu, fondateur et PDG de la société de sécurité blockchain Certik. “Mais les programmes – les contrats intelligents – qui s’exécutent dessus sont toujours comme les autres programmes réguliers, qui peuvent avoir des erreurs logicielles et des vulnérabilités.”

Il est courant que les pirates essaient d’exploiter le code pour l’une de leurs cibles. Et cela aide qu’une grande partie du code des programmes blockchain soit open source, ce qui le rend facilement accessible aux pirates qui souhaitent examiner le code et trouver des erreurs potentielles.

“Dans ce monde, les gens disent” dans le code auquel nous faisons confiance “, mais le code lui-même n’est en fait pas si fiable”, a déclaré Gu. Lorsqu’il a lancé son entreprise de sécurité blockchain en 2018, a expliqué Gu, il n’y avait que quelques entreprises qui utilisaient des services de sécurité tiers comme le sien pour réviser et évaluer leur code – un backstop de sécurité critique – mais il a vu le nombre augmenter progressivement.

Les crypto-monnaies sont également des cibles importantes pour le piratage. Les bourses sont comme les banques, ce sont des entités centrales qui détiennent d’énormes quantités d’argent des utilisateurs et les transactions sont irréversibles. Comme les ponts, il s’agit d’un programme intermédiaire qui a tendance à être ciblé. “Les grands marchés boursiers ont un grand objectif sur le dos”, a déclaré Christin.

Sacrifier à nouveau avec grande charge de sécurité

Lorsque des crypto-monnaies sont volées, il peut être difficile pour les voleurs de retirer de l’argent, surtout si le vol se situe dans la fourchette à neuf chiffres. Cela signifie que les fonds restent souvent dans les limbes pendant des années, voire indéfiniment. Pendant ce temps, la valeur des fonds volés peut fluctuer en raison de la nature volatile du marché de la cryptographie.

Le rapport sur la crypto-monnaie Chainalysis estime que les criminels disposent actuellement d’une crypto-monnaie d’une valeur d’au moins 10 milliards de dollars, la grande majorité obtenue par le vol. Grâce à la transparence de la blockchain, il est possible de retracer ces transactions et avoirs, mais l’identité de l’auteur est difficile à déterminer tant que les fonds n’ont pas été versés.

Le scandale Bitfinex peut être considéré comme une étude de cas dans une tentative de blanchiment d’argent. “Les fonds n’ont pas bougé pendant extrêmement longtemps. Et quand ils ont essayé de lancer le processus de blanchiment d’argent, c’était l’occasion pour les forces de l’ordre de s’impliquer à nouveau, car les gens suivent ces piratages, explique Kim Grauer, directeur de recherche chez Chainalysis.

Pour les victimes de stratagèmes, il existe peu de moyens de récupérer des avoirs. “Si la sécurité d’une banque échoue, ce n’est pas mauvais pour la banque”, a déclaré Ethan Heilman, expert en cybersécurité et co-fondateur du service cloud BastionZero. “Mais si vous êtes un échange de crypto-monnaie et que quelqu’un vide toute votre crypto-monnaie, c’est très mauvais pour vous.” Les banques ont mis en place des mesures pour protéger leurs clients qui manquent à la blockchain. Si votre carte de crédit est volée, les polices d’assurance vous rembourseront généralement. Sur la blockchain, cependant, les transactions sont irréversibles – il n’y a pas de bouton d’annulation.

Cela signifie qu’il y a un énorme fardeau de sécurité pour les utilisateurs individuels pour protéger leurs actifs. “Les utilisateurs finaux ne sont pas nécessairement conscients du risque de sécurité qu’ils encourent”, a déclaré Christin. “Honnêtement, même les gens sur le terrain n’ont pas nécessairement le temps d’aller parcourir le code source d’un contrat intelligent.”

Si vous confiez vos clés au mauvais intermédiaire de second ordre, il est possible qu’il soit victime d’un vol. Dans l’ensemble, la plupart des gens ne sont pas habitués à cette responsabilité.

Les sociétés de cryptographie commencent à prendre plus au sérieux la sécurité, a déclaré Heilman, “mais un monde sans piratage n’est pas réaliste”, a-t-il ajouté. “Vous ne devenez jamais en sécurité, vous devenez simplement plus en sécurité”, a-t-il déclaré. “Donc, étant donné à quel point il est facile de monétiser une vulnérabilité dans l’un de ces systèmes, je pense qu’il est probable que nous continuerons à voir des choses piratées, et la question ne sera pas ‘y a-t-il un nouveau hack ce mois-ci?’ Ce sera : ‘quelle est la fréquence des hacks ce mois-ci ?’ »

“Il y a des choses importantes que l’industrie doit surmonter pour se développer et évoluer”, a déclaré Grauer, “parce que vous ne pouvez pas avoir une industrie en croissance saine si tout le monde a peur d’être piraté.”

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *