230 millions de dollars en cryptomonnaies dérobés en quelques heures, c’est le lourd bilan du hack qu’a subi la plateforme d’échange indienne WazirX ce jeudi. Un nouveau coup dur pour l’industrie crypto, régulièrement secouée par des failles de sécurité d’ampleur. Que s’est-il passé exactement et comment WazirX compte-t-elle réagir ?
WazirX publie un rapport détaillé sur l’incident
Quelques heures seulement après la découverte de l’attaque, la crypto-bourse basée à Mumbai s’est fendue d’un long rapport d’incident pour clarifier la situation. Dans ce “post-mortem”, WazirX explique qu’un cas de force majeure a permis à des acteurs malveillants de compromettre un élément crucial de son système de portefeuilles multi-signatures.
Le problème viendrait d’une incohérence entre les données affichées sur l’interface de Liminal, le fournisseur de services de garde et d’infrastructure de portefeuilles de WazirX, et les informations réellement signées en coulisses.
Pendant la cyber-attaque, il y avait une différence entre les informations affichées sur l’interface de Liminal et ce qui était réellement signé. Nous suspectons que la charge utile a été remplacée pour transférer le contrôle du portefeuille à un attaquant.
L’équipe WazirX
Un système multi-signatures court-circuité
Pour sécuriser ses actifs, la plateforme s’appuie normalement sur un portefeuille multi-signatures nécessitant trois approbations de membres internes, plus une validation finale de Liminal. Un dispositif censé prévenir tout accès non autorisé mais qui n’a pas résisté à cette attaque bien ficelée.
Dans un message publié sur X (anciennement Twitter), WazirX assure qu’elle ne laissera “aucune pierre non retournée” pour tenter de récupérer les fonds dérobés et identifier les coupables. La firme dit vouloir faire toute la lumière sur cet incident majeur.
Le notoire groupe Lazarus pointé du doigt
Si WazirX affiche sa détermination à traquer les pirates, il y a malheureusement peu d’espoir de retrouver le butin. Selon les analyses d’Elliptic et du crypto-détective ZachXBT, cette attaque porte la signature du groupe Lazarus, un collectif de hackers nord-coréens tristement célèbre.
Lazarus est crédité de certains des plus gros hacks de l’histoire des cryptos :
- Le vol de 600M$ du bridge Ronin d’Axie Infinity en 2022
- Le détournement de 308M$ de DMM Bitcoin en 2023
- De nombreux autres hacks de DeFi et de bridges
Le groupe serait lié au régime de Pyongyang et est d’ailleurs visé par des sanctions américaines pour blanchiment d’argent et financement du terrorisme. Lazarus est connu pour sa sophistication et la quasi-impossibilité de récupérer les fonds une fois dérobés.
Près de 50% des fonds déjà revendus
Le fournisseur de données on-chain Arkham confirme d’ailleurs que le hacker a déjà écoulé près de la moitié du butin, soit plus de 100 millions de dollars en Shiba Inu (SHIB). Les chances de geler les sommes restantes dépendront des plateformes par lesquelles elles transiteront, centralisées ou non.
102,1 millions de dollars de SHIB volés ce matin à WazirX ont maintenant été entièrement vendus par l’attaquant.
Arkham
Un nouveau hack d’envergure qui vient s’ajouter à la longue liste noire des incidents de sécurité dans l’écosystème crypto. Si WazirX promet transparence et efforts pour traquer la piste des pirates, il est peu probable que les utilisateurs lésés revoient un jour la couleur de leurs fonds.
La seule consolation est que l’échange assure avoir de solides réserves en euros et dollars pour protéger les avoirs restants. Mais la confiance est clairement ébranlée. WazirX et l’ensemble de l’industrie devront redoubler d’efforts en matière de cybersécurité pour espérer restaurer leur crédibilité déjà bien entamée.
