SafeMoon, un projet financier décentralisé exploité en mars, entraînant une perte nette de 8,9 millions de dollars en BNB, a été inculpé par la Securities and Exchange Commission des États-Unis et ses principaux dirigeants pour violations des règles de sécurité et fraudes.
Les fonds associés à l’exploit ont circulé via des échanges centralisés et Match System, une société d’analyse blockchain, estime que ces transferts via CEX pourraient devenir critiques pour les forces de l’ordre.
Sean Thornton de Match System a déclaré à Cointelegraph qu’ils soupçonnaient que les échanges centralisés étaient utilisés comme maillon intermédiaire dans la chaîne du blanchiment d’argent.
«Sur CEX, les fonds pourraient être échangés contre d’autres jetons et retirés davantage, et les comptes sur CEX pourraient être enregistrés pour des dépôts (personnes factices). Compte tenu du fait qu’il est presque impossible de retracer les mouvements de fonds via CEX sans une demande des forces de l’ordre, CEX est une option préférable à DEX pour qu’un pirate informatique gagne du temps et confonde les chemins », a expliqué Thornton.
Match System a effectué une autopsie du contrat intelligent SafeMoon et des mouvements de fonds ultérieurs pour analyser le comportement des exploiteurs. L’analyse a révélé que le pirate informatique a exploité une vulnérabilité dans le contrat de SafeMoon associée à la fonctionnalité « Bridge Burn », permettant à quiconque d’appeler la fonction « graver » sur les jetons SFM à n’importe quelle adresse. Ces attaquants ont utilisé cette vulnérabilité pour transférer les jetons d’autres utilisateurs vers le l’adresse du développeur.
Le transfert effectué par les exploiteurs a entraîné l’envoi de 32 milliards de jetons SFM depuis l’adresse LP de SafeMoon vers l’adresse du déployeur de SafeMoon. Cela a conduit à une augmentation instantanée de la valeur des jetons. L’exploitant a utilisé la pompe à prix pour échanger certains jetons SFM contre des BNB à un prix gonflé. En conséquence, 27 380 BNB ont été transférés à l’adresse du pirate informatique.
Match System, dans son analyse, a constaté que la vulnérabilité du contrat intelligent n’était pas présente dans la version précédente et n’est apparue qu’avec la nouvelle mise à jour le 28 mars, jour de l’exploit, ce qui a amené beaucoup à croire à l’implication d’un initié. Ces spéculations se sont intensifiées le 1er novembre lorsque la SEC a porté plainte contre le projet SafeMoon et ses trois dirigeants, les accusant d’avoir commis une fraude et d’avoir violé les lois sur les valeurs mobilières.
Thornton a déclaré à Cointelegraph que les accusations de la SEC n’étaient pas sans fondement et qu’ils avaient également trouvé des preuves pouvant indiquer l’implication de la direction de SafeMoon dans le piratage informatique. Il a ajouté que la question de savoir si cela a été fait intentionnellement ou s’il s’agit d’une négligence criminelle des employés devra être résolue par les forces de l’ordre.
En rapport: Un nouveau système de suivi des litiges cryptographiques met en évidence 300 cas, de SafeMoon à Pepe the Frog
La SEC a allégué que le PDG de SafeMoon, John Karony, et le directeur technique, Thomas Smith, avaient détourné l’argent des investisseurs et retiré 200 millions de dollars d’actifs de l’entreprise. Les dirigeants de SafeMoon font également face à des accusations de la part du ministère de la Justice pour complot en vue de commettre une fraude électronique, un blanchiment d’argent et une fraude en valeurs mobilières.
Le pirate informatique à l’origine de l’attaque a d’abord affirmé avoir exploité le protocole par erreur et vouloir mettre en place un canal de communication pour restituer 80 % des fonds. Depuis lors, les fonds liés aux exploits ont été transférés à plusieurs reprises, souvent via des échanges centralisés comme Binance, qui, selon la société d’analyse, seront essentiels pour permettre aux forces de l’ordre de retrouver les auteurs de l’exploit.
Revue: NFT de Huawei, hackathon de Toyota, Corée du Nord contre Blockchain : Asia Express