Un grand négociant en cryptomonnaies offre 16 millions de dollars au hacker qui lui a volé des centaines de millions. Bien que la société Wintermute considère l’incident comme un piratage « très malheureux et douloureux », elle a assuré à ses partenaires, prêteurs et autres clients qu’ils ne seront pas affectés.
Wintermute, une société d’échange et de trading de cryptomonnaies, a offert 16 millions de dollars aux pirates qui ont volé près de 160 millions de dollars de ses opérations financières décentralisées (DeFi) cette semaine.
Une récompense de 10%
« Au hacker, nous offrons une récompense de 10% des fonds pris. Pour faciliter les choses, nous proposons de transférer tous les fonds volés par l’exploit, à l’exception de 16 millions USD », a écrit M. Evgeny Gaevoy, le PDG de la société, sur Twitter le 20 septembre 2022.
M. Gaevoy a partagé dans son post l’adresse d’un portefeuille spécifique où l’argent restant peut être transféré. Il a toutefois prévenu l’escroc que sa société travaillait sur de nombreuses pistes pour l’identifier et déterminer la nature de son attaque, et que la « fenêtre d’opportunité » qu’ils lui offraient pour arranger les choses « va se refermer rapidement ».
Une vulnérabilité liée à Profanity
Le PDG de Binance, Changpeng Zhao, avait indiqué sur Twitter que l’exploit de Wintermute semblait être lié à Profanity, mais n’avait pas expliqué comment. De plus le responsable de la sécurité informatique de Polygon, Mudit Gupta, avait corroboré ces allégations avec des preuves.
« Le coffre-fort n’autorise que les administrateurs à effectuer ces transferts et le porte-monnaie électronique de Wintermute est un administrateur, comme prévu. Par conséquent, les contrats ont fonctionné comme prévu, mais l’adresse de l’administrateur elle-même a probablement été compromise« , a-t-il déclaré, ajoutant :
« L’adresse admin est une adresse Vanity (qui commence par un tas de zéros) qui pourrait avoir été générée à l’aide du célèbre mais bogué outil de génération d’adresses Vanity appelé Profanity. »
La société de crypto-sécurité Certik a également expliqué comment l’attaque a été menée. « Le pirate a utilisé une fonction privilégiée avec la fuite de la clé privée pour spécifier que le contrat de swap était le contrat contrôlé par l’attaquant », peut-on lire dans le billet de blog.
S’exprimant sur les raisons de ce piratage, le PDG de Wintermute a finalement expliqué qu’il a été rendu possible en raison d’une vulnérabilité liée à Profanity, un outil de génération d’adresses Ethereum personnalisées qui est impliqué dans un récent vol portant sur des milliers de portefeuilles de cryptomonnaies. Le pirate aurait utilisé l’exploitation d’une ancienne adresse qui conservait encore un accès administratif à la chambre forte de Wintermute, en raison, selon M. Gaevoy, d’une erreur humaine interne.
« La dernière fois que nous avons généré des adresses de cette manière, c’était en juin. Depuis lors, nous sommes passés à un script de génération de clés plus sûr. Lorsque nous avons appris l’existence de l’exploit Profanity la semaine dernière, nous avons accéléré la suppression de l’ancienne clé », a-t-il déclaré.
Wintermute cherche à rassurer et offre de rembourser des prêts
Bien que Wintermute considère l’incident comme un piratage « très malheureux et douloureux« , elle a assuré à ses partenaires, prêteurs et autres clients qu’ils ne seront pas affectés, expliquant que son écosystème financier DeFi fonctionne de manière complètement séparée du reste de l’entreprise.
M. Gaevoy a insisté sur le fait que les fonds de ses prêteurs sont en sécurité et que l’entreprise reste solvable, avec plus du double du capital perdu. Il s’est également engagé à rembourser le prêt à toute personne qui considère qu’il est risqué de continuer à travailler avec eux.
D’autre part, M. Gaevoy a indiqué que des perturbations de ses services sont attendues dans les prochains jours, le temps que certaines opérations soient rétablies. « Il n’y a pas de licenciements. Aucun changement de stratégie. Pas de collecte de fonds d’urgence. On ne renonce pas à DeFi. Nous continuerons à aller de l’avant dans ce marché baissier avec le reste d’entre vous« , a-t-il ajouté.
Rappelons que Wintermute fournit des liquidités aux principales plateformes d’échange et de négociation de cryptomonnaies telles que Binance, Coinbase, Kraken ou encore Bitfinex.
Article: Le cofondateur de Kraken démissionne après un conflit avec des employés
