La plateforme KuCoin est classée numéro 4 parmi les échanges majeurs de crypto-monnaie. Le hack survenu ce week-end est estimé à au moins 150 millions de dollars.
Les échanges de crypto-monnaies centralisés doivent garder un nombre conséquent de liquidité sur leur plateforme pour éviter une volatilité trop importante des prix. Cela fait régulièrement d’elles des cibles privilégiées par les pirates.
Les plateformes d’échange crypto, cibles régulières d’attaques
Avec des volumes quotidien atteignant quelques milliards de dollars toutes plateformes confondues, il n’est pas rare dans l’actualité de voir des attaques ciblant les portefeuilles des échanges de crypto-monnaies. L’histoire se souvient par exemple de Mt Gox en 2014, qui avait subi un piratage de 744 408 Bitcoins — mais d’autres ont eu lieu depuis.
C’est la première fois qu’un piratage de cette ampleur est subi par KuCoin. Ayant voulu d’abord minimiser l’attaque en cours, la plateforme avait évoqué dans un premier temps un « problème de sécurité ». Peu de temps après, KuCoin a éteint ses serveurs, pensant que cela allait suffire.
Puis plusieurs acteurs ont alerté du retrait massif de Bitcoin et d’autres jetons de la blockchain Ethereum. La clé privée de l'un des portefeuilles « chauds » (c’est à dire connecté en permanence à internet) de la plateforme étant compromis, ils n’ont pu sauver qu’une petite partie des fonds qui se trouvaient dessus en les déplaçant vers un autre portefeuille.
Au moins 150 millions de dollars en crypto-monnaies envolés
Jusqu'à il y a peu, les pirates devaient garder leur crypto-monnaies au chaud pendant un long moment pour éviter de montrer au monde où ils envoient leurs fonds. Si une plateforme d’échange centralisée venait à recevoir les fonds d’un pirate, elle ne mettait pas longtemps avant de bloquer le compte.
Mais avec l’avènement de la Finance Décentralisée, plusieurs plateformes d’échange dont les administrateurs n’ont aucun contrôle sur les transactions effectuées ont vu le jour. C’est par ce biais que le pirate, depuis ce week-end, échange son butin au fur et à mesure sans être inquiété par un blocage extérieur.
Au moment du méfait, la valeur totale du vol était estimée à 150 millions de dollars. Depuis, des spécialistes ont estimé la valeur réelle à un total proche des 280 millions de dollars.
Les conséquences et réponses du secteur
Face à cette pratique pour le moins inédite, les différents acteurs qui ont été impacté par le hack ont répondu rapidement à cette attaque.
Tether a gelé 33 millions de dollars volés pendant l’attaque, Ocean a préféré mettre en pause son contrat intelligent (bloquant toutes transaction utilisant le protocole) pour modifier son code et rendre invalides les jetons valant 8,6 millions de dollars, Orion a préféré procéder à un échange complet des jetons existants contre des nouveaux…
En parallèle, KuCoin a fait savoir que son fond d’assurance allait couvrir les pertes des utilisateurs. Même si plusieurs acteurs doutent des capacités financières pour rembourser la totalité des fonds, la morale de cette histoire est bien connue du monde de la crypto-monnaie : « Si ce ne sont pas vos clés (privées), ce ne sont pas vos Bitcoin ! »
