Alors que l’incertitude réglementaire continue d’affecter l’écosystème mondial des actifs numériques, de nombreux partisans anti-crypto continuent d’insister sur le fait que l’industrie dans son ensemble a un long chemin à parcourir pour se sécuriser d’une manière qui est n’importe où. comparable au système financier traditionnel. Maintenant, avec le récent piratage de Bitmart, ces personnes ont reçu encore plus de puissance de feu.
Pour récapituler, le 5 décembre, l’échange de crypto-monnaie Bitmart a été la cible d’un piratage majeur qui a vu la plate-forme perdre près de 200 millions de dollars via un compromis de portefeuille à chaud hébergé sur les blockchains Ethereum et Binance Smart Chain. La violation a été révélée pour la première fois par la société de sécurité blockchain Peckshield, dont l’équipe de cybersécurité a révélé que des tiers malveillants avaient initialement pu transférer environ 100 millions de dollars via la blockchain Ethereum, suivi d’un autre piratage simultané de 96 millions de dollars. utilisant les réserves BSC de l’échange cryptographique.
Les pirates ont pu accumuler plus de 20 jetons, dont un certain nombre d’altcoins tels que Binance Coin (BNB), SafeMoon (SAFEMOON), BSC-USD et BNBBPay (BPay). Ils ont également pu voler des quantités décentes de jetons meme, notamment Baby Doge Coin (BabyDoge), Floki Inu (FLOKI) et Moonshot (MOONSHOT). Selon l’équipe de sécurité de PeckShield, l’ensemble du programme peut être attribué à une simple manœuvre de « transfert, échange et lavage ».
Bitmart répond
Pour mieux comprendre comment tout l’incident s’est produit, Cointelegraph a contacté Bitmart. Un porte-parole de la plate-forme de trading a souligné que dès que la violation a été découverte, la société a pris des mesures en fermant plusieurs systèmes pour « limiter toute sorte de préjudice immédiat » – les actions comprenaient l’arrêt des retraits de jetons ainsi que l’arrêt des utilisateurs d’échanger certaines paires. . Le représentant a ajouté :
« Nous prévoyons de continuer à restaurer progressivement les services, mais uniquement en suivant le processus de test approfondi de notre équipe de sécurité. La sécurité reste notre priorité n°1. En fait, depuis le mardi 7 décembre 2021, EST, nous avons repris les dépôts et les retraits de jetons ETH et ERC20. »
De plus, une réponse écrite de la bourse a également souligné qu’afin de renforcer son infrastructure de sécurité native, Bitmart avait remplacé toutes ses adresses de dépôt de jetons par rapport à des devises comme Bitcoin (BTC), Ether (ETH) et Solana (SOL), comme ainsi que tous les autres jetons impliqués dans l’incident. « Nous avons également informé nos utilisateurs des changements pertinents », a conclu le communiqué.
Enfin, le 6 décembre. Sheldon Xia, fondateur et PDG de BitMart, annoncé via Twitter que l’échange allait utiliser son propre financement pour compenser les pertes résultant de l’incident : « Nous discutons également avec plusieurs équipes de projet pour confirmer les solutions les plus raisonnables telles que les échanges de jetons. Aucun actif de l’utilisateur ne sera endommagé.
La communauté crypto fait preuve de solidarité
Après le piratage de près de 200 millions de dollars, les membres de la communauté mondiale Shiba Inu (SHIB) et de l’échange cryptographique Huobi Global se sont lancés pour offrir à Bitmart toute sorte d’assistance nécessaire à l’échange non seulement pour renforcer sa configuration de sécurité existante, mais aussi pour garder un onglet précis sur les entrées de ses actifs égarés.
S’adressant à Cointelegraph, le directeur de la stratégie mondiale de Huobi, Jeff Mei, a noté que dans des cas comme celui observé en relation avec Bitmart, il est indispensable que la transparence et l’action immédiate aient la priorité absolue, ajoutant :
« Les bourses doivent alerter leurs utilisateurs, les autres bourses et les autorités chargées de l’application des lois dès que possible et être transparentes sur ce qu’elles font pour gérer le piratage et la perte de fonds des utilisateurs. »
De plus, Mei a souligné que les utilisateurs devraient éviter de mettre en commun tous leurs actifs sur une seule plate-forme ou un seul portefeuille, et dans les cas où ils sentent qu’il se passe quelque chose de louche, les utilisateurs ne devraient pas hésiter à contacter l’échange pertinent et à leur parler de l’incident de sécurité potentiel.
Tout comme Huobi, la communauté Shiba Inu a également confirmé son intention d’aider Bitmart, ajoutant qu’elle avait déjà intensifié ses efforts pour examiner toute menace potentielle pour la sécurité de ShibaSwap, un échange décentralisé construit par la communauté (DEX).
Plus d’éducation est nécessaire
Raimundo Castilla, PDG de la plate-forme de conservation d’actifs numériques Prosegur Crypto, a déclaré à Cointelegraph que ce qui est arrivé à Bitmart avec sa récente faille de sécurité était quelque chose qui n’était facilement évitable que si les utilisateurs de la plate-forme avaient été suffisamment éduqués pour conserver leurs actifs numériques à l’extérieur et non en bourse. lui-même :
« Les hot wallets doivent être réservés uniquement aux fonds avec lesquels vous souhaitez trader. Cette somme d’argent aurait dû être conservée dans un entrepôt frigorifique avec un système à vide et des transactions 100 % hors ligne. »
Néanmoins, Castilla a ajouté que pour que des plates-formes comme Bitmart puissent prévenir de futurs incidents, elles doivent utiliser une combinaison de technologies innovantes couplées à des protocoles de gouvernance rigides. Pour commencer, leurs clés privées n’auraient pas dû être protégées en ligne, car tout ce qui est stocké en ligne est susceptible d’être attaqué, quelle que soit la qualité de sa protection. « Ils auraient dû travailler avec une liste blanche, donc même si quelqu’un a accès à n’importe quelle clé privée, il ne peut envoyer des fonds qu’à une direction de portefeuille pré-confirmée », a-t-il expliqué.
De plus, Bitmart aurait pu potentiellement utiliser un système de co-signature avancé de calcul multipartite (MPC) qui utilisait un module d’approbation multi-signature. Cela aurait obligé les pirates à avoir besoin de plusieurs personnes pour approuver les transactions en question.
Castilla a ajouté que : « Le piratage d’une seule clé privée ne peut rien faire du tout. » De plus, une personne jouant le rôle d’un gestionnaire de comptes clés aurait pu intervenir et « arrêter la transaction pour atteindre le client et voir si elle était légitime ».
De meilleures mesures de sécurité sont le besoin de l’heure
L’écosystème de la cryptographie étant apparemment soumis à une attaque continue d’incidents de piratage malveillants, il convient de noter que récemment, la plate-forme de prêt d’actifs numériques Celsius a également confirmé qu’elle avait été confrontée à une perte de 50 millions de dollars via un exploit lié au protocole de finance décentralisée (DeFi) BadgerDAO .
Rapports de l’attaque d’abord fait surface le 9 décembre. L’équipe principale de développeurs du protocole a annoncé qu’elle avait reçu « plusieurs exportations de retraits non autorisés » liés à leurs clients. Après, ils ont suspendu tous leurs contrats intelligents existants afin d’atténuer les pertes potentielles.
Cela dit, tout n’a pas été une mauvaise nouvelle récemment, car le protocole cross-chain Synapse Bridge a révélé que le 9 novembre, son équipe de sécurité a pu éviter un exploit de plusieurs millions de dollars sur le métapool Avalanche Neutral Dollar (nUSD), empêchant mécréants de se frayer un chemin avec près de 8 millions de dollars de devises numériques.