Issue heureuse pour le braquage de Poly Networks

Le feuilleton criminel estival fut le cyberbraquage de la plate-forme de finance décentralisée (ou DeFi), car s’appuyant sur des cryptomonnaies, Poly Networks. Le 10 août dernier, un pirate connu sous le pseudonyme de Mr White Hat a dérobé pour environ 600 millions de dollars en cryptomonnaie en exploitant une faille de sécurité, répartis sur les différentes cryptomonnaies de la plate-forme, soit environ 267 millions de dollars en Ether, 252 millions de dollars en tokens Binance et 85 millions de dollars en tokens USDC. Au lieu de rester discrète, la société volée a largement communiqué à ce sujet en lançant un appel au criminel pour que celui-ci restitue les fonds : « Le montant que vous avez piraté est le plus important de l’histoire de la DeFi. Les forces de l’ordre de n’importe quel pays considéreront cela comme un crime économique majeur et vous serez poursuivis. Il est très imprudent pour vous d’effectuer d’autres transactions. L’argent volé provient de dizaines de milliers de membres de la communauté des cryptomonnaies, donc de personnes. Vous devriez nous parler pour trouver une solution. » Poly Networks a dans le même temps diffusé trois adresses vers lesquelles les fonds avaient été transférés en appelant les mineurs et les bourses d’échange spécialisées, à mettre celles-ci sur liste noire. Le jeudi suivant, le pirate avait restitué la majorité des fonds et la semaine d’après, Poly Networks l’a récompensé en lui versant 500 000 dollars. De plus, la plate-forme a lancé un programme de bug bounty (recherche de failles par des tiers) doté lui aussi d’une récompense de 500 000 dollars par vulnérabilité détectée, comme celle utilisée par Mr White Hat pour effectuer son casse, entre les appels du contrat : « Nous avons corrigé la vulnérabilité des contrats interchaînes qui entraînait la modification de l’adresse du détenteur à l’adresse spécifiée par M. White Hat. La correction consiste à mettre sur une liste blanche les contrats et les méthodes qui peuvent être invoqués par des appels externes », a précisé la société en annonçant son bug bounty.