Imaginez-vous vous réveiller un matin et découvrir que votre portefeuille crypto, laborieusement garni au fil des mois, a été entièrement vidé pendant la nuit. C’est le cauchemar qu’ont vécu les utilisateurs de WazirX le 18 juillet dernier, lorsque la plateforme a subi un hack retentissant. Pas moins de 234 millions de dollars se sont volatilisés en un clin d’œil. Un coup dur pour l’exchange indien et ses clients. Mais WazirX ne compte pas en rester là. Son co-fondateur, Nischal Shetty, vient d’annoncer le lancement d’un programme de bounty pour tenter de récupérer les fonds dérobés. La récompense s’élève à 23 millions de dollars, rien que ça !
Un appel à l’aide de la communauté crypto
Face à l’ampleur de la tâche, WazirX a décidé de solliciter l’aide de la communauté crypto toute entière. Car traquer et geler des actifs volés sur la blockchain n’est pas une mince affaire. Cela demande des compétences pointues en matière d’investigation numérique et de sécurité des réseaux décentralisés.
Le bounty program comporte deux volets :
- Un “track and freeze bounty” : pour ceux qui aideront à localiser et geler les fonds volés
- Un “white hat recovery bounty” : 10% des montants récupérés seront reversés à ceux qui auront permis leur restitution
Au total, ce sont donc 23 millions de dollars qui sont mis sur la table par WazirX. Une somme faramineuse qui devrait motiver plus d’un crypto-détective en herbe à se lancer dans la traque.
La piste Lazarus
Si officiellement, on ne connaît pas encore l’identité des pirates, de nombreux observateurs pointent du doigt le groupe de hackers nord-coréen Lazarus. Cette cyber-armée à la solde du régime de Pyongyang s’est spécialisée dans les attaques contre les plateformes crypto ces dernières années.
$10M bounty means nothing if it is indeed Lazarus Group as they are not going to just hand over the funds or be located and held legally accountable.
ZachXBT
Mais comme le souligne le célèbre crypto-enquêteur ZachXBT, traquer des fonds jusqu’en Corée du Nord a peu de chances d’aboutir. Le régime ermite ne risque pas de coopérer pour restituer son butin…
Un bug dans le smart contract ?
Quant au mode opératoire utilisé par les hackers, il reste lui aussi en partie mystérieux à ce stade. Certains spécialistes comme “Engineer Xplains” sur X (anciennement Twitter) avancent la thèse d’un bug dans le smart contract de WazirX, qui aurait permis aux pirates de détourner le système de signatures pour initier des transactions non autorisées.
Selon “Engineer Xplains”, voici comment les hackers auraient procédé :
- Modification du contract définissant les procédures de transaction, sans détection
- Capture des signatures de 3 keyholders WazirX lors de transactions échouées
- Utilisation de ces signatures pour créer une transaction test passant les vérifications de Liminal
- Feu vert pour des transferts massifs non autorisés
Une hypothèse réfutée par Nischal Shetty, qui assure que le système de Liminal vérifie la validité et la provenance de chaque transaction, excluant toute signature extérieure.
La piste des fonds s’amenuise
Pendant que WazirX tente de faire la lumière sur ce hack, la piste des fonds volés s’amenuise de jour en jour. Le cabinet d’analyse Arkham a confirmé que les pirates ont déjà converti pour 102 millions de dollars de SHIB (faisant partie du butin) en Ether.
Une course contre la montre est engagée pour tenter de geler ces actifs avant leur disparition totale. Le bounty de WazirX sera-t-il suffisamment alléchant pour mobiliser une armée de limiers numériques et faire la différence ? Réponse dans les prochains jours. En attendant, cet énième hack prouve une fois de plus la fragilité de l’écosystème crypto et la nécessité de renforcer urgemment sa sécurité.
