Alors que l’écosystème crypto tente de panser ses plaies après l’implosion de FTX fin 2022, un nouveau scandale ébranle le marché indien. WazirX, l’un des plus gros exchanges du pays, a été victime d’un hack massif de 230 millions de dollars. Mais les apparences sont parfois trompeuses. Une enquête menée par TruthLabs lève le voile sur des zones d’ombre troublantes. WazirX cache-t-il son jeu ? Plongeons au cœur de cette affaire aux relents de déjà-vu.
Les dessous d’un hack à 230 millions de dollars
Le 4 avril dernier, WazirX annonce le transfert des fonds de ses clients de Liminal vers de nouveaux wallets multi-signatures, suite à un piratage. Le montant du vol est colossal : 230 millions de dollars. Un véritable séisme pour la plateforme, qui revendique plus de 20 millions d’utilisateurs en Inde.
Mais l’enquête menée par TruthLabs révèle rapidement plusieurs signaux d’alarme. Premier fait troublant : WazirX n’a offert aucune prime pour retrouver le responsable du hack. Une pratique pourtant courante dans l’industrie.
Ce que WazirX n’a pas fait, c’est d’offrir une prime qui aurait aidé à comprendre qui était à l’origine de l’exploitation de plus de 230 millions de dollars dans les actifs de ses clients.
TruthLabs
Autre incohérence relevée par les enquêteurs : WazirX prétend dans son rapport que 4 signatures étaient nécessaires pour valider une transaction, alors qu’en réalité, 6 adresses pouvaient approuver un transfert. Pire, 4 de ces adresses seraient liées à la sixième, suggérant qu’une seule et même personne contrôlait en fait 5 des 6 signatures. De quoi sérieusement remettre en cause la sécurité du système.
Des liens troublants avec Binance et la fraude
Mais l’affaire ne s’arrête pas là. TruthLabs affirme que l’adresse principale de WazirX, créée en 2022, était en fait initialement une adresse Binance. Une adresse déjà impliquée dans des activités frauduleuses par le passé.
Le déployeur de WazirX n’aurait envoyé des fonds que à trois destinataires :
- Binance
- SwipeX, un protocole lié à des fraudes
- Une adresse de burn
Face à ces révélations, WazirX a rejeté en bloc l’analyse de TruthLabs, la qualifiant “d’incorrecte”. Mais pressé par les enquêteurs de fournir des preuves, l’exchange reste mutique à ce jour. Les soupçons s’accumulent.
Shardeum, l’autre projet du fondateur au timing douteux
Hasard du calendrier ou timing calculé ? Nischal Shetty, le fondateur de WazirX, a lancé un bug bounty à 1 million de dollars sur son autre projet Shardeum, au moment même du hack. Une coïncidence troublante pour beaucoup.
D’autant que ce bug bounty intervient alors que Shardeum s’apprête à lancer son token, qui aura besoin d’une liquidité importante. De quoi éveiller les soupçons sur l’origine des 230 millions de dollars volatilisés.
La crypto ne changera pas ses habitudes tant que la responsabilité n’aura pas été établie.
TruthLabs
La colère gronde également chez les utilisateurs de WazirX. Beaucoup ont appris avec stupeur que Nischal Shetty et son associé sont aussi derrière Pi42, un nouvel exchange qui prétend “être plus sécurisé que WazirX”. Un argument commercial qui passe mal au vu des circonstances.
Des liens présumés avec le groupe de hackers Lazarus
Pour couronner le tout, certains comptes de WazirX seraient liés à Lazarus, le tristement célèbre groupe de hackers nord-coréen. Si ces allégations se confirmaient, elles jetteraient une lumière encore plus trouble sur l’affaire.
Alors, WazirX est-il un nouveau FTX à l’indienne ? Si de nombreuses zones d’ombre demeurent, les parallèles avec l’affaire Bankman-Fried sont troublants. L’industrie crypto, encore fragile, n’avait pas besoin d’un nouveau scandale. Pourtant, les vieilles habitudes ont la vie dure. Seule une responsabilité accrue permettra d’assainir le secteur. Mais le chemin s’annonce encore long et semé d’embûches.
L’affaire WazirX rappelle douloureusement que la confiance est un bien précieux et fragile dans l’écosystème des cryptomonnaies. Au pays des géants du Web3 comme ailleurs, la vigilance reste plus que jamais de mise.
