Une baleine crypto perd 38 M$ dans une exploitation de multisig

Une baleine crypto a perdu environ 38 millions de dollars après qu'un attaquant a pris le contrôle d'un portefeuille multi-signatures et a discrètement vidé ses fonds plus tôt dans la journée.

L'affaire attire une attention particulière car l'attaquant n'a pas seulement déplacé des actifs via Tornado Cash, mais a également conservé le contrôle d'une position DeFi à effet de levier liée au portefeuille compromis.

Portefeuille multi-signatures vidé après une compromission de clé privée

La société de sécurité blockchain PeckShield a rapporté sur X le 18 décembre que le portefeuille d'une baleine a été vidé après l'exposition d'une clé privée, entraînant des pertes d'environ 27,3 millions de dollars à première vue. Le suivi on-chain ultérieur a montré que le montant total des dégâts s'élevait à près de 38 millions de dollars une fois les portefeuilles et positions associés inclus.

Selon PeckShield, l'attaquant a déjà envoyé 4 100 ETH d'une valeur d'environ 12,6 millions de dollars via Tornado Cash dans un effort apparent pour brouiller les pistes. Environ 2 millions de dollars restent en actifs liquides. Plus inquiétant encore, l'attaquant contrôle toujours l'adresse de la victime, qui détient une position longue à effet de levier sur Aave, les données on-chain montrant environ 25 millions de dollars d'ETH fournis en garantie contre plus de 12 millions de dollars en DAI empruntés.

L'analyste on-chain Specter a partagé une chronologie détaillée sur X, notant que la victime a créé un portefeuille multi-signatures 1-sur-1, ce qui signifie qu'il ne nécessitait qu'une seule signature d'un seul signataire pour autoriser les transactions. Cependant, cette configuration allait à l'encontre de l'objectif principal d'un portefeuille multi-signatures, qui est d'exiger plusieurs approbations indépendantes.

Moins de 40 minutes après le transfert de fonds, le portefeuille a connu un débit massif qui a vidé tous les tokens. Vers le même moment, le signataire a été remplacé par une adresse contrôlée par l'attaquant.

Specter a déclaré que l'explication la plus probable est que la clé privée a été divulguée lors de la configuration ou que la victime s'est appuyée sur un tiers malveillant pour l'aider à créer le portefeuille. Un message ultérieur, citant le chercheur tanuki42, suggère que l'attaquant aurait pu créer le portefeuille multi-signatures lui-même, laissant la victime exposée pendant et après la configuration.

Un schéma familier dans les failles de sécurité crypto

L'incident s'inscrit dans un schéma plus large de vol de clés privées et d'ingénierie sociale qui continue de tourmenter le secteur crypto. Dans un rapport du 15 décembre, le groupe de cybersécurité Security Alliance a averti que des hackers liés à la Corée du Nord organisent quotidiennement de faux appels Zoom et Teams pour installer des logiciels malveillants et voler des clés privées, une méthode liée à des centaines de millions de dollars de pertes.

Le fondateur de Binance, Changpeng Zhao, a émis un avertissement similaire en septembre, affirmant que les attaquants ciblent de plus en plus la confiance humaine plutôt que les failles des contrats intelligents, se faisant souvent passer pour des assistants, des candidats à un emploi ou des hôtes de réunion.

L'historique on-chain montre que la baleine était active depuis des mois avant le piratage. Le 7 mai, Onchain Lens a rapporté que la même adresse avait retiré plus de 2 500 ETH d'OKX et misé des fonds via Kiln Finance, constituant progressivement une importante position en ETH.

Pour l'instant, le contrôle continu de l'attaquant sur la position Aave ajoute une couche de risque supplémentaire. Si les marchés évoluent brusquement, les liquidations forcées pourraient aggraver les pertes, transformant une violation déjà coûteuse en une leçon encore plus dure sur la sécurité des portefeuilles multi-signatures et la gestion des clés privées.

L'article Une baleine crypto perd 38 millions de dollars dans une exploitation de portefeuille multi-signatures est apparu en premier sur CryptoPotato.