Accueil > Technologie > Un peu de transparence dans le hack d’échange Cryptopia

Article précédent : Répartition des ventes de Token 2014-2018 Article suivant : Fieldcoin une blockchain pour la gestion de terres agricoles.

Un peu de transparence dans le hack d’échange Cryptopia

Dans les cinq jours qui ont suivi le premier signalement du piratage Cryptopia, nous avons été surpris de constater que peu d’informations sur ce qui s’était réellement passé.

Personne ne semble savoir :

Comment le vol a eu lieu : comment, quand et où les fonds ont-ils été pris ?
Combien a été perdu : Cryptopia n’a pas révélé combien a été volé. Les reportages des médias sur la valeur totale des avoirs volés vont de 3 à 13 millions de dollars .
État actuel des fonds volés : nous avons vu quelques erreurs à propos des échanges qui gèlent des fonds volés, mais rien sur le montant bloqué ni l’emplacement du reste des fonds.
Ce piratage concerne des milliers de personnes qui ont des fonds sous la garde de Cryptopia. Même si Cryptopia a ses raisons de rester silencieuse, nous pensons qu’il est important de connaître les faits.

Ironiquement, les réponses définitives à toutes les questions ci-dessus se cachent à la vue de tous, codés dans une base de données publique appelée Ethereum blockchain, qui n’est malheureusement pas bien conçue pour la consommation humaine. Cependant, notre technologie est conçue pour permettre cela.

Sur la base de données provenant du moteur de requête Elementus, voici comment le piratage Cryptopia s’est en réalité échoué.

Edit : Sachant que de nombreuses informations erronées circulent, nous avons mis en ligne les données brutes utilisées dans cette analyse afin que tout le monde puisse les valider.

Qu’est-il arrivé ?

Ce cas est assez différent des autres piratages de haut niveau que nous avons vus dans le passé. Mais avant d’expliquer ce qui rend ce cas si inhabituel, voici un bref aperçu de ce qui a été rapporté et de ce que l’on peut déduire de la blockchain.

Toutes les heures ci-dessous sont en heure de l’Est (GMT-5).

Dimanche 13 janvier à 8h28 : Les fonds commencent à sortir des deux portefeuilles chauds de Cryptopia, l’ un contenant de l’éther et l’ autre des jetons .
Dimanche 13 janvier à 23 h 58 : les portefeuilles centraux étant vides, des quantités résiduelles de fonds commencent à quitter les portefeuilles secondaires de 76k + de Cryptopia, processus qui se poursuivrait pendant plusieurs jours.
Lundi 14 janvier, 6 h 00 : Cryptopia suspend les transactions, en annonçant qu’elles font l’objet d’une maintenance imprévue.
Mardi 15 janvier à 3 heures du matin : Cryptopia divulgue l’infraction de sécurité et les mesures d’application de la loi de la Nouvelle-Zélande
Jeudi 17 janvier à 5h58 : les derniers fonds de Cryptopia sont épuisés .
Selon nos calculs, la valeur totale de la crypto volée (éther et divers jetons), aux prix actuels du marché, s’élève à environ 16 millions de dollars . Ce nombre ne comprend que ce qui est sur la blockchain Ethereum (jetons Ether et ERC20). Nous n’avons pas examiné la blockchain Bitcoin ni d’autres blockchains pour voir si des fonds y ont également été volés.

Les voleurs ont pris de l’éther et des jetons ERC20 d’une valeur d’environ 16 millions de dollars.

Cryptopia hack - valeur marchande des pertes

Le détail des pertes par cryptoasset est présenté ci-dessous.

Atout Valeur (USD)
ETH 3 570 124 $
Dentacoin 2 446 212 $
Huître perle 1 948 223 $
Lisk ML 1 718 610 $
Centralité 1 148 144 $
Vaisseau mère 880 141 $
Ormeus 452 841 $
DAPS 384 425 $
Zap 147 158 $
Pilier 254 521 $
Autres jetons 3 051 709 $
Total 16 002 108 $

Valeur marchande des actifs cryptographiques volés à Cryptopia, évalués aux prix du marché au 19 janvier 2019. Pour plus de détails, voir la Antipanique par jeton / liste complète des transactions sur Cryptopia dans les portefeuilles des pirates

Où sont les fonds volés maintenant ?

Ces derniers jours, les pirates informatiques ont remué les fonds en petits morceaux et les ont progressivement transférés vers des bourses d’échange. Le graphique et le tableau ci-dessous montrent combien a été envoyé à chaque échange.

Cryptopia hack - combien a été envoyé à chaque échanges

À quel point les voleurs ont-ils tenté de retirer de l’argent lors des échanges ?

Échange Dépôts Valeur (USD)
Bibox 326 581 $
Binance 279 525 $
Huobi 147 715 $
HitBTC 56 648 $
CoinExchange 22 908 $
Digifinex 13 017 $
Bittrex 11 865 $
Changelly 8 152 $
Kucoin 6 597 $
ABCC 4 978 $
Mercatox 3 199 $
LAToken $ 1,381
Bitmart 66 $

Total 192 882 632 $
Valeur marchande des actifs cryptographiques volés qui ont été envoyés aux bourses

Sur les 16 millions de dollars volés, la grande majorité (environ 15 millions de dollars) reste dans deux portefeuilles contrôlés par les voleurs :

0x9007a0421145b06a0345d55a8c0f0327f62a2224
0xaa923cd02364bb8a4c3d6f894178d2e12231655c

Nous continuons à surveiller le mouvement des fonds et nous tiendrons les chiffres de ce billet à jour.

Qu’est-ce qui rend ce hack si inhabituel ?

Ce hack est assez différent des autres holdings de haut niveau sur la blockchain. Normalement, ils correspondent à l’un des deux profils :

Exploits de contrats intelligents (par exemple, Parity , The DAO, SpankChain) : Les pirates informatiques découvrent une vulnérabilité dans le code de contrat intelligent d’un portefeuille, ce qui leur permet de vider ses fonds. Ces cas peuvent impliquer de nombreux portefeuilles, si la même vulnérabilité est présente dans chacun d’eux. Mais une fois que le premier portefeuille est brisé, les choses se compliquent assez rapidement, car il s’agit généralement d’une course entre les hackers et les propriétaires du portefeuille (parfois assistée par des hackers à chapeau blanc) pour accéder à l’argent d’abord.

Identifiants d’accès non autorisés (par exemple, Coinrail, Tether , Gatecoin) : une personne à l’extérieur (ou peut-être à l’intérieur) parvient à mettre la main sur la clé privée d’un portefeuille et retire simplement les fonds dans son propre portefeuille. Ces cas impliquent généralement la violation d’un seul portefeuille et, au moment où le vol devient publiquement connu, les fonds ont disparu depuis longtemps.

Le hack Cryptopia diffère de ces profils de deux manières flagrantes.

Le piratage Cryptopia impliquait un grand nombre de portefeuilles.

Les fonds ont été prélevés sur plus de 76 000 portefeuilles différents, dont aucun n’était un contrat intelligent. Les voleurs doivent avoir accès à non pas une clé privée, mais des milliers d’entre eux.

Le piratage a continué pendant des jours après que Cryptopia ait découvert la brèche.

Le manque d’urgence des voleurs est frappant. Plutôt que de retirer les fonds le plus rapidement possible, comme c’est le cas dans la plupart des piratages cryptographiques, ils ont pris leur temps pour extraire les actifs pendant près de cinq jours.

Après que Cryptopia eut découvert le piratage, ils virent les fonds continuer de sortir de leur portefeuille pendant quatre jours de plus , apparemment impuissants à les arrêter. Ces portefeuilles n’étant pas des contrats intelligents, il n’y aurait pas eu de complications techniques empêchant Cryptopia de sécuriser les fonds.

La seule explication plausible de l’inaction de Cryptopia est qu’elle n’a plus accès à son propre portefeuille.

Il semble que Cryptopia ait non seulement perdu ses fonds, mais également l’accès à la totalité ou à la quasi-totalité de ses portefeuilles Ethereum de plus de 76 000 euros.

Une explication possible est que les clés privées de Cryptopia étaient stockées sur un serveur unique sans redondance. Si les voleurs réussissaient à accéder à ce serveur, ils auraient pu télécharger les clés privées avant de les effacer du serveur, ce qui empêcherait Cryptopia d’accéder à leurs propres portefeuilles.

Conclusions

Nos conclusions de l’enquête.

1 948 portefeuilles Ethereum et 46 000 USD en Ether restent à risque.

Nous comptons environ 2 000 portefeuilles Cryptopia restants contenant un solde combiné de 380 ETH (environ 46 k $). La plupart de ces fonds ont été déposés par les utilisateurs de Cryptopia après le piratage initial, apparemment ignorants de la violation de la sécurité.

En supposant que les voleurs aient accès à ces portefeuilles, et non à Cryptopia, la récupération des fonds est une cause perdue. Toutefois, si Cryptopia connaît l’identité de ces utilisateurs, ils ont eu la clairvoyance de les contacter et de leur faire savoir de ne plus envoyer de fonds.

Voir la liste complète des portefeuilles à risque ici

Il est probable que Cryptopia dispose de fonds supplémentaires en toute sécurité quelque part.

La valeur des ETH volés ne représente "que" environ 3,5 millions de dollars. Bien qu’il s’agisse d’une somme non négligeable en termes absolus, c’est relativement faible par rapport à ce que nous attendions de Cryptopia dans les dépôts des utilisateurs. Cela nous porte à penser que Cryptopia doit avoir un cache d’éther caché.

Si ces fonds sont disponibles, ils seront soit stockés dans la chaîne dans un portefeuille froid, soit en dehors de la chaîne, sous la garde d’un autre échange.

Les échanges devraient geler ces fonds dès leur arrivée.

Pas d’excuses. Sur la blockchain, il n’ya nulle part où se cacher et aucune raison de penser que 100% de ces transferts n’auraient pas dû être gelés immédiatement.

Tous les échanges soucieux de la conformité et souhaitant bloquer ces fonds illicites sont encouragés à prendre contact . Nous mettrons en place une alerte en temps réel pour vous avertir du moment où l’un de ces fonds volés aura touché votre compte, gratuitement.

Source : Elementus


22 janvier 2019, par Ducky | 0 commentaires
Revenir en haut de la page ?

Voir aussi :

Répondre à cet article

Qui êtes-vous ?
Ajoutez votre commentaire ici
  • Ce champ accepte les raccourcis SPIP {{gras}} {italique} -*liste [texte->url] <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

  • Image

Suivre les commentaires : RSS 2.0 | Atom

Article : Même catégorie