En avril de l'année dernière, un pirate informatique a exploité un bug dans le protocole DeFi basé sur Optimism Hundred Finance, gagnant 7,4 millions de dollars.

Après plus d’un an de silence, les fonds volés sont désormais en circulation.

Mercredi vers 10 h 25, heure de Londres, le pirate informatique a retiré près de 800 000 $ d'Ether et de stablecoin USDT de Tether de l'échange décentralisé Curve après avoir utilisé les jetons pour y fournir des liquidités il y a plus d'un an.

Après le retrait, le pirate informatique a utilisé l'échange décentralisé Uniswap pour échanger l'USDT, ainsi que de plus petites quantités d'autres crypto-monnaies comme PAXG, WOO, FRAX et DAI en Ether.

Au total, les transactions ont augmenté les avoirs en Ether du portefeuille d’un peu plus d’un million de dollars.

Le pirate informatique détient désormais 4,2 millions de dollars d’Ether, 1,2 million de dollars de DAI, 859 000 $ de stablecoin sUSD de Synthetix et de plus petites quantités de Wrapped Ether, FRAX, SNX et Wrapped Bitcoin.

On ne sait pas pourquoi le pirate informatique a soudainement décidé de commencer à transférer des fonds après tout ce temps. Si le pirate informatique contrôle toujours le portefeuille et est derrière les transactions, cela pourrait indiquer qu'il se prépare à encaisser les fonds volés.

Les pirates informatiques convertissent souvent les cryptomonnaies volées en Bitcoin ou Ether afin de les échanger plus facilement contre de la monnaie fiduciaire.

Le pirate informatique pourrait-il encaisser ?

Il peut être de plus en plus difficile pour le pirate informatique d’encaisser sa crypto volée.

Avant de tenter d’encaisser des fonds via un échange cryptographique centralisé, le pirate informatique devra rompre la chaîne de traçabilité qui relie les fonds au portefeuille qui a effectué le piratage.

Auparavant, les pirates informatiques s'appuyaient sur des mélangeurs cryptographiques tels que Samourai Wallet ou sur des protocoles de confidentialité tels que Tornado Cash pour blanchir des fonds.

Mais les régulateurs du monde entier sévissent contre les moyens par lesquels les utilisateurs de crypto peuvent obscurcir l’historique de leurs transactions.

Le 24 avril, le Parlement européen a voté l’interdiction des mélangeurs de crypto-monnaie dans le cadre de la nouvelle réglementation anti-blanchiment d’argent.

Puis, le 25 avril, le DoJ a accusé deux fondateurs du mélangeur cryptographique Samourai Wallet de complot en vue de commettre du blanchiment d'argent et de complot en vue d'exploiter une entreprise de transfert d'argent sans licence.

Dans le cas de Samourai Wallet, les autorités américaines ont pris le contrôle des serveurs du mélangeur cryptographique, le laissant inutilisable.

Les mesures coercitives ont également dissuadé les utilisateurs d’utiliser des mélangeurs cryptographiques et des protocoles de confidentialité. En septembre 2022, les développeurs du protocole de confidentialité Tornado Cash ont déclaré à la société de sécurité cryptographique Elliptic que la faible liquidité du protocole signifiait que les utilisateurs avaient du mal à mélanger ne serait-ce que 100 $.

Le hack Hundred Finance : un an plus tard

Hundred Finance était un protocole dérivé du protocole de prêt populaire Compound v2 qui permettait aux utilisateurs de prêter et d'emprunter des crypto-monnaies.

Le 15 avril 2023, un pirate informatique a exploité un bug dans le code de Hundred Finance pour voler environ 7,4 millions de dollars aux déposants.

Le pirate informatique a exploité une erreur d'arrondi dans la façon dont le protocole traitait les retraits, leur permettant d'utiliser une petite quantité de Wrapped Bitcoin comme garantie pour retirer plus d'actifs qu'ils n'auraient dû pouvoir le faire.

Suite à cet exploit, Hundred Finance a d'abord offert une prime ouverte de 500 000 $ pour des informations pouvant conduire à l'arrestation du pirate informatique et à la récupération des actifs volés.

Plus tard, le protocole a tenté de négocier le retour des fonds en offrant au pirate informatique 10 % des fonds volés, soit environ 740 000 dollars, en échange du retour en toute sécurité des 90 % restants.

Les deux tentatives de récupération des fonds volés ont échoué et les détenteurs de jetons Hundred Finance ont voté en faveur de l'arrêt du projet le 9 août.

Tim Craig est correspondant DeFi chez DL News. Vous avez un conseil ? Envoyez-lui un e-mail à tim@dlnews.com.