Le piratage de Munchables est bien pire qu'il n'y paraît

Le mardi 26 mars, le projet « GameFi » basé sur Ethereum et basé sur NFT, Munchables, a signalé un piratage quidrainé plus de 17 400 ETH (environ 63 millions de dollars) de ses caisses. Cinq heures après l'enquête, il est apparu clairement que l'attaque provenait de l'intérieur : un développeur sous contrat, connu sous le pseudonyme « Werewolves0943 », avait drainé les fonds. Le vol de fonds de projets par des initiés est si courant dans le Crypto que le terme « rugpull » est devenu courant. Mais la particularité de cette situation réside dans le fait que les employés étaient des personnes embauchées. aurait eu des liens avec la Corée du Nord.

Ceci est un extrait de la newsletter The Node, un résumé quotidien des actualités Crypto les plus importantes sur CoinDesk et ailleurs. Abonnez-vous pour recevoir l'intégralité de l'actualité. newsletter ici.

Après une heure de négociations menées par Munchables, en collaboration avec l'enquêteur blockchain indépendant ZachXBT et la société de sécurité PeckShield, Werewolves0943 a été convaincu de restituer l'intégralité des fonds. « Le développeur de Munchables a partagé toutes les clés privées nécessaires pour faciliter la récupération des fonds des utilisateurs. Plus précisément, la clé contenant 62 535 441,24 USD, celle contenant 73 WETH et la clé du propriétaire contenant le reste des fonds », a indiqué l'équipe de Munchables à 4 h 40 UTC.

Bien que cela semble être une solution plutôt heureuse pour un piratage relativement peu important, l'exploit de Munchables pourrait avoir de nombreuses conséquences néfastes pour le secteur des Crypto . Plus important encore, même si l'implication directe de la Corée du Nord dans l'attaque n'est T encore confirmée, le simple fait que tant de personnes aient accepté cette hypothèse au premier abord contribue à alimenter un récit dangereux selon lequel les Crypto contribuent à affaiblir la défense nationale et à soutenir les organisations terroristes.

Données de 2016 à 2023 collectées par une société d'analyse en chaîneChainalysis a montré La Corée du Nord a piraté au moins 20 plateformes de Crypto , dérobant un peu plus d'un milliard de dollars d'actifs rien que l'année dernière. Un rapport distinct Laboratoires TRM Ces conclusions ont largement été corroborées. « Les piratages informatiques liés à la Corée du Nord sont en hausse depuis quelques années, des groupes de cyberespionnage tels que Kimsuky et Lazarus Group utilisant diverses tactiques malveillantes pour acquérir de grandes quantités de Crypto », a déclaré Chainalysis dans son rapport.

Plus tôt la recherche a révélé Des pirates informatiques affiliés à la Corée du Nord utilisaient des milliards de dollars de Crypto volées pour financer le programme d'armement nucléaire du Royaume ermite. Ces attaques ont été une raison majeure pour laquelle le département du Trésor américain a pris la décision sans précédent de sanctionner le contrat intelligent Tornado Cash, un mélangeur de Crypto. La sénatrice Elizabeth Warren (Démocrate-Massachusetts) peut, en toute bonne foi, qualifier les Crypto de « risque pour la sécurité nationale ».

« Pour être honnête : la plus grande menace Juridique pour la Crypto est de loin l'allégation selon laquelle la Corée du Nord finance son programme de missiles en piratant des contrats intelligents », a déclaré Jake Chervinsky, PDG de Variant Fund. écrit sur X. Si la Crypto est interdite, « cela sera dû à une opinion de plus en plus répandue parmi les décideurs politiques anti-cryptomonnaie selon laquelle la Crypto n'a T d'autre cas d'utilisation que les jeux d'argent et le crime, et que le risque de permettre à la Crypto de continuer à exister dépasse de loin les avantages potentiels que les développeurs de blockchain ont promis mais n'ont pas livrés depuis des années. »

L'attaque Munchables ne fait qu'aggraver cette image. En réalité, elle est légèrement pire : il ne s'agit T d'un acteur extérieur exploitant un code mal écrit, mais d'un manque total de diligence raisonnable de la part d'un projet blockchain de plusieurs millions de dollars lors du recrutement de développeurs. Cela donne une toute nouvelle dimension à l'« ingénierie sociale » lorsque des acteurs manifestement malveillants peuvent non seulement manipuler un initié pour obtenir des informations critiques, mais aussi être payés pour être à l'intérieur.

Selon le développeur Ethereum 0xQuitterL'attaque Munchables avait été planifiée dès le départ. L'attaquant a pu mettre à jour le « contrat de verrouillage », censé KEEP les fonds du projet sous clé pendant une durée déterminée, afin de pouvoir « s'attribuer un solde déposé de 1 000 000 d'ethers » tout en dissimulant les preuves des modifications. 0xQuit réclamé.

Voir aussi :Appeler un piratage un exploit minimise l'erreur Human | Analyses

Bien sûr, ce n'est T un problème qui concerne uniquement l'industrie de la Crypto : depuis des années, le Federal Bureau of Investigations et la République de Corée émettent des avertissements concernant la Corée du Nord. « artisanat »des exploiteurs accédant à des infrastructures clés grâce à leur emploi. « L'embauche ou le soutien de travailleurs informatiques de la RPDC continue de présenter de nombreux risques, allant du vol de propriété intellectuelle, de données et de fonds à l'atteinte à la réputation et aux conséquences juridiques », ont écrit les agences dans un récent message d'intérêt public.

Revenir en arrière

Outre l'embarras d'avoir au moins un hacker nord-coréen à l'œuvre au sein des projets qu'ils cherchent à dévaliser, la réaction de la communauté Crypto à l'attaque Munchables a également révélé la vulnérabilité de ces systèmes. Par exemple, plusieurs personnes sur Crypto Twitter ont suggéré que, Munichables étant basé sur la blockchain controversée Blast, essentiellement gérée par un simple portefeuille multi-signatures, l'équipe Blast pourrait intervenir en remontant la chaîne pour récupérer les fonds volés.

« Bien que je sois fermement opposé à cette action sur toute autre chaîne, je ne considère T Blast comme une marque de « chaîne de décentralisation sérieuse », mais plutôt comme un lieu de jeux, d'expérimentations, de dégénérescence, ETC», a déclaré Adam Cochran, une voix influente dans les cercles Ethereum et partenaire de Cinneamhain Ventures. en soutien au retour en arrière potentiel.

Sans aucun doute, Blast estun réseau controversé — un ONE qui a levé plus d' un milliard de dollars sans même un prototype — mais qui n'est pas si différent de la façon dont sont construites les autres couches 2 de la pile OP . Par exemple, après qu'Eric Wall a rappelé à ses abonnés que Blast et le réseau Base de Coinbase exploitaient essentiellement la même base de code, le développeur principal de Base, Jesse Pollack, a tweeté que « Les clés ne sont contrôlées par ONE partie ou entité. »Au lieu de cela, Base est contrôlé par un portefeuille multi-signatures 2/2, qui pourrait théoriquement également annuler la chaîne si les deux parties étaient d'accord.

Voir aussi :Un vol POLY de 600 millions de dollars montre que la DeFi a besoin de pirates informatiques pour devenir inviolable. | Analyses

Actuellement, aucune solution de mise à l'échelle Ethereum n'est véritablement « décentralisée » au sens où on l'entend généralement, même si les équipes qui les développent adhèrent généralement aux principes d'accès sans autorisation et de non-censure des utilisateurs. D'une certaine manière, comme le souligne Chervinsky, de nombreux décideurs politiques qui « comprennent la différence entre Technologies centralisée et décentralisée » choisiraient la première, car elle permet aux fondateurs de garder le contrôle de ce qui se passe sur la chaîne.

« Mais en fin de compte, c’est aux constructeurs du secteur de faire mieux », a-t-il ajouté.