Les cryptomonnaies fascinent autant qu’elles inquiètent. Si leur technologie sous-jacente, la blockchain, est réputée inviolable grâce à la cryptographie, il n’en va pas toujours de même pour les plateformes qui permettent de les échanger. Dernier exemple en date : le hack de l’exchange BingX, qui vient de se faire dérober pas moins de 43 millions de dollars !
L’alerte est donnée par PeckShield
C’est la firme d’analyse blockchain PeckShield qui a tiré la sonnette d’alarme ce matin sur le réseau social X (anciennement Twitter). Ses experts ont en effet repéré des mouvements suspects sur les wallets de l’exchange BingX :
- Des retraits anormalement élevés depuis les hot wallets (portefeuilles connectés à internet) de la plateforme
- Les fonds étaient transférés vers des adresses inconnues, signe d’une compromission
- Au total, l’équivalent de 43 millions de dollars en cryptomonnaies ont ainsi été siphonnés des caisses de BingX
Un hack tentaculaire sur de multiples blockchains
La particularité de cette attaque, c’est qu’elle a visé les fonds de BingX présents sur de nombreuses blockchains différentes. Parmi elles, on retrouve quelques mastodontes comme Ethereum, BNB Chain ou encore Polygon, mais aussi des chaînes plus confidentielles comme Optimism ou Linea. Au total, ce sont les hot wallets BingX d’une dizaine de réseaux qui ont été compromis.
Suite au hack, le pirate semble s’être empressé de convertir son butin en Ether (ETH) et en BNB, probablement dans le but de couvrir ses traces et de blanchir les fonds. Une technique classique qui vise à brouiller les pistes en multipliant les transferts entre de nombreuses adresses et protocoles. Malgré ces tentatives, les mouvements de fonds restent tracés grâce aux explorateurs de blockchains.
Une « perte mineure » minimisée par BingX
Sommée de réagir, la plateforme BingX n’a pas immédiatement communiqué sur le hack en tant que tel. Elle a simplement annoncé une « maintenance imprévue » et une suspension des retraits. Il aura fallu attendre une réaction de Vivien Lin, responsable produit de l’exchange, pour avoir un début d’explication :
Selon elle, BingX a subi « une perte mineure d’actifs », la majorité des fonds de la plateforme étant stockés sur des cold wallets déconnectés d’internet. Seule « une partie minime » des cryptos était présente sur les hot wallets compromis, afin d’assurer la liquidité nécessaire aux retraits des utilisateurs.
On peut cependant s’interroger sur le qualificatif de « perte mineure » au vu des 43 millions de dollars dérobés… Les équipes de BingX seront-elles en mesure de rembourser intégralement les fonds des utilisateurs ? Le doute est permis, d’autant que ce type d’attaques, même sur des montants inférieurs, a déjà suffi à mettre à terre certains exchanges.
La sécurité, talon d’Achille des exchanges
Cet épisode rappelle une fois de plus que les exchanges centralisés restent le maillon faible de l’écosystème cryptomonnaies. Malgré des progrès constants en matière de sécurité, ces plateformes demeurent des cibles de choix pour les hackers en raison des immenses montants qu’elles concentrent. Des failles sont régulièrement exploitées, que ce soit au niveau du code, des hot wallets ou des accès internes aux employés.
Pourtant, certaines règles de base permettraient de limiter considérablement les risques et les montants exposés :
- Stocker la grande majorité des fonds en cold wallets multisignatures
- Limiter au strict minimum les montants présents sur les hot wallets
- Segmenter les hot wallets pour contenir l’impact d’une faille
- Monitorer en continu toutes les adresses et transactions pour détecter rapidement les anomalies
Malgré ces techniques connues, les hacks d’exchanges se succèdent inexorablement, rappelant que la meilleure sécurité reste souvent de conserver soi-même le contrôle de ses cryptomonnaies. Un principe fondamental qui est à la base même des blockchains mais que les plateformes centralisées ont tendance à faire oublier. Le temps est peut-être venu de renouer avec cet idéal des débuts…