WazirX, l’un des principaux échanges cryptographiques centralisés en Inde, a perdu près de la moitié de ses actifs totaux après avoir été piraté jeudi matin.
"Nous sommes conscients qu'un de nos portefeuilles multisig a subi une faille de sécurité", a déclaré le compte X de WazirX dans un message publié à 8h48, heure de Londres. "Notre équipe enquête activement sur l'incident."
La société de sécurité Blockchain Cyvers a été parmi les premières à repérer le piratage.
🚨ALERTE🚨Hey @WazirXIndia, Notre système a détecté plusieurs transactions suspectes impliquant votre portefeuille Safe Multisig sur le réseau #ETH.
Un total de 234,9 millions de dollars de vos fonds ont été transférés vers une nouvelle adresse. L'appelant de chaque transaction est financé par @TornadoCash.
Le suspect… pic.twitter.com/4sajAwd4Hb
– 🚨 Alertes Cyvers 🚨 (@CyversAlerts) 18 juillet 2024
Des transactions suspectes ont commencé à retirer des fonds de l’un des portefeuilles Ethereum de WazirX vers 6h19.
En un peu plus d’une heure, près de 235 millions de dollars d’actifs avaient été épuisés.
Parmi le butin se trouvait plus de 102 millions de dollars de Shiba Inu, un memecoin sur le thème du chien.
Le pirate informatique a également volé pour 53 millions de dollars d’Ether et 11 millions de dollars de jeton MATIC de Polygon, ainsi que de plus petites quantités de plus d’une douzaine de jetons supplémentaires.
Les enregistrements Onchain montrent que le pirate informatique vend déjà des parties de la crypto volée.
WazirX détenait 503 millions de dollars d'actifs, selon le rapport de preuve de réserves de la bourse de juin. La perte de 235 millions de dollars représente 46 % de son actif total.
WazirX a depuis suspendu les retraits d’espèces et de cryptomonnaies.
Le piratage s'ajoute aux 684,3 millions de dollars déjà volés lors d'incidents similaires en 2024, selon DefiLlama.
Alors que le montant volé a chuté de 56 % entre 2022 et 2023 pour atteindre 1,42 milliard de dollars, les experts en sécurité ont prévenu que les cybercriminels reviendraient avec le marché haussier.
Casser le coffre-fort
WazirX a utilisé un portefeuille multisignature sécurisé – ou multisig – pour conserver la cryptographie de son utilisateur.
Ces portefeuilles sont généralement considérés comme plus sécurisés que les portefeuilles ordinaires, car ils nécessitent que plusieurs personnes signent chaque transaction.
Cette fois, le pirate a trouvé un moyen de contourner cette mesure de sécurité.
"Il semble que les signataires du compte concerné ont signé une transaction qui a modifié l'adresse du contrat de mise en œuvre dans le proxy", a déclaré Mikhail Mikheev, développeur de logiciels chez Safe, dans un groupe sur l'application de messagerie Telegram et l'a confirmé à DL News.
En d’autres termes, après que le pirate informatique ait accédé aux systèmes de WazirX, il a mis à niveau le code régissant le portefeuille pour contourner ses fonctionnalités de sécurité.
"A notre connaissance, aucun autre coffre-fort n'est concerné", a déclaré Mikheev. "Nous coopérons actuellement avec WazirX pour approfondir l'enquête sur le problème."
Un autre hack d'échange
Le piratage WazirX n’est pas le premier incident de ce type ces derniers mois.
En mai, la bourse japonaise DMM Bitcoin a subi une « fuite non autorisée » de plus de 300 millions de dollars.
Le détective pseudonyme en chaîne, ZachXBT, a déclaré que le groupe nord-coréen Lazarus pourrait être à l'origine du piratage DMM Bitcoin en raison de "similitudes dans les techniques de blanchiment et les indicateurs hors chaîne".
Ari Redbord, responsable mondial de la politique chez TRM Labs, une société de renseignement blockchain, a déclaré que l'attaque portait « les caractéristiques d'un piratage prototypique [nord-coréen] ».
On ne sait pas encore si le groupe Lazarus est également à l’origine du piratage WazirX.
Tim Craig est le correspondant DeFi de DL News basé à Édimbourg. Contactez-nous avec des conseils à tim@dlnews.com.