Le monde des cryptomonnaies est de nouveau en émoi. Un pirate informatique a réussi à dérober pour plus de 600 millions de dollars d'actifs en monnaie numérique à la plateforme d'échanges Poly Network. Peu de temps après ce « braquage » record, le hacker a décidé de restituer l'intégralité des fonds.
Les cryptomonnaies viennent d'enregistrer un nouveau record. Un vol sans précédent s'est déroulé dans la nuit du mardi 10 août. Plus de 600 millions de dollars (510 millions d'euros) d'actifs en Ethereum, Binance Chain et Polygon, des monnaies populaires du milieu de la finance décentralisée (DeFi), ont été dérobés.
Far West
Le pirate s'est attaqué à la plateforme d'échange de cryptomonnaies Poly Network, une place financière numérique émergente. Pour faciliter l'échange des différentes monnaies, ces plateformes, dont le plus gros représentant est Binance, ont développé des jetons « maison », comme le Binance Coin ou le Polygon, et jonglent entre les différentes blockchains, ces grands index gouvernés par des algorithmes qui valident et enregistrent l'ensemble des transactions. Or, justement, le pirate a repéré une vulnérabilité dans les protocoles d'échange et a pu s'emparer du butin ! Pour prendre une comparaison avec le monde sonnant et trébuchant, c'est comme si le hacker avait braqué un camion fourgon lors d'un transfert de fonds entre deux banques. Ce type de méfaits se multiplient. Fin avril, avant le casse de Poly Network, près de 400 millions d'euros de cryptomonnaies avaient déjà été dérobés. Alors qu'en 2019, la crypto-criminalité atteignait 4,5 milliards de dollars, 2 milliards supplémentaires ont été détournés l'an passé.
Chapeau blanc et blanc chapeau
L'histoire ne s'arrête cependant pas à celle de « la plus grosse somme d'argent piratée dans l'histoire de la finance décentralisée », comme l'a annoncé Poly Network sur Twitter quelques heures après le casse. La société a réagi de manière rapide et transparente, attitude rarement adoptée par ses homologues dans des situations identiques. Dès le lendemain, la plateforme a adressé une lettre ouverte au pirate, lui enjoignant de rendre les fonds. « Cher hackeur (…) nous voulons entrer en communication avec vous et vous exhorter à rendre les actifs que vous avez piratés » a écrit Poly Network, précisant que « cet argent vient de dizaines de milliers de membres de la communauté crypto », tout en proférant des menaces indirectes : « les autorités de n'importe quel pays vont considérer vos méfaits comme un crime économique majeur et vous serez poursuivi. (…) Vous devriez nous parler pour trouver une solution ».
Très vite, le pirate s'est manifesté. Déjà, dans les transactions qui ont mené au vol, le hacker avait laissé des messages informant que l'argent n'était pas son objectif. « Identifier une faille dans l'architecture de Poly Network restera comme l'un des meilleurs moments de ma vie », a-t-il déclaré quelques heures après son méfait. Sur une plateforme de questions-réponses, l'Arsène Lupin numérique a affirmé avoir transféré les jetons « pour les mettre en sécurité » après avoir repéré une faille. « Pour être honnête, j'avais des ambitions un peu égoïstes, de faire quelque chose de marrant mais pas nuisible… puis j'ai réalisé que d'être un leader moral serait le piratage le plus cool que je pourrai jamais faire », a expliqué le braqueur virtuel, désormais surnommé Mr White Hat, ou Monsieur Chapeau Blanc. Ce surnom fait référence à la différence, dans le milieu du hacking, entre les pirates qui exploitent des failles pour en tirer profit (les « black hats ») et ceux qui le font pour améliorer la sécurité d'un système (« white hats »).
Depuis l'incident, la quasi-totalité des fonds a été retransférée sur les comptes de Poly Network et le reste est en cours de restitution. L'histoire ne dira jamais si le pirate avait réellement de louables intentions ou s'il a simplement eu peur des conséquences judiciaires. La blockchain permet en effet de suivre toutes les transactions et il est de moins en moins aisé de blanchir l'argent d'un vol. De nombreuses société se sont d'ailleurs spécialisées dans le suivi des fonds sur les différentes blockchains. Reste maintenant à savoir quelle suite les autorités policières donneront à cette affaire rocambolesque.
