Encore un vol de crypto-actifs dans le monde des crypto-monnaies. Cette fois, c’est la plateforme Ronin qui a été touchée. Celle-ci sert de « pont » entre les devises électroniques. Le casse est évalué à plus de 540 millions d’euros.

Le temps passe et l’actualité des crypto-monnaies reste aussi rythmée par des vols de crypto-actifs. Dernière affaire en date, qui a été rendue publique à la fin du mois de mars 2022, celle du réseau Ronin. Le 29 mars, la plateforme a sorti un communiqué reconnaissant un casse d’ampleur qui a abouti à la perte de centaines de milliers d’ethers (ETH).

« Une faille de sécurité s’est produite sur le réseau Ronin. Plus tôt dans la journée, nous avons découvert que le 23 mars, les nœuds de validation Ronin de Sky Mavis et les nœuds de validation Axie DAO ont été compromis, ce qui a entraîné le retrait de 173 600 ethers et de 25,5 millions d’USDC du pont Ronin en deux transactions », déclare Ronin dans son message.

Les sommes en jeu sont considérables. La valeur d’un seul ether atteint aujourd’hui un peu plus de 3 000 euros. Un butin de 173 600 ethers équivaut donc à plus de 520 millions d’euros au cours actuel. Quant aux 25,5 millions d’USDC, ils valent 25,5 millions de dollars (un peu moins de 23 millions d’euros), car le cours de l’USDC est indexé sur le dollar américain.

L’USDC (US Dollar Coin) est ce qu’on appelle d’ailleurs un stablecoin, car son cours est moins sujet à de fortes variations à la hausse ou à la baisse puisqu’il dépend d’une monnaie ayant cours légal. L’USDC commence à être pris en compte, comme chez Visa. En français, on traduit stablecoin par « cyberjeton indexé ». L’ethereum, en revanche, n’est pas un stablecoin.

Des nœuds de vérification trompés

Le communiqué Ronin donne des détails sur la manière dont l’assaillant a réussi son coup. Il apparait que le système de validation des transactions, qui repose sur neuf nœuds, a été trompé. Pour permettre une opération, il faut que la chaîne de validation comporte au moins cinq signatures sur neuf. Et justement, l’attaquant a réussi à piéger quatre nœuds plus un nœud tiers.

« L’attaquant a réussi à prendre le contrôle des quatre validateurs Ronin de Sky Mavis et d’un validateur tiers géré par Axie DAO », écrit Ronin. Sky Mavis est le nom d’une société américaine qui édite le jeu Axie Infinity dans lequel on peut gagner de la crypto-monnaie. Le jeu demande d’avoir des ethers, à acheter sur Coinbase ou Binance par exemple, pour ensuite les utiliser en jeu.

Axie
Le jeu Axie Infinity. // Source : Sky Mavis

Pour alimenter un portefeuille Ronin, nom donné par Sky Mavis à l’espace servant à stocker ses objets numériques et ses devises, il faut déposer des ethers depuis sa plateforme d’échange Binance ou Coinbase, en utilisant son adresse ethereum. Pour cela, Sky Mavis met à disposition un « pont » permettant de connecter le réseau Ethereum à Ronin.

C’est justement au niveau de ce pont que l’attaque a été conduite. Il s’agit d’un segment clé dans le monde des crypto-monnaies, car il participe à la circulation des devises électroniques et à leur échange d’une crypto à l’autre. En clair, ils assurent une certaine interopérabilité entre les blockchains, par exemple pour passer des bitcoins en ethers.

Le caractère sensible des ponts a pu être observé plus tôt cette année avec un autre casse, qui a affecté cette fois la plateforme Wormhole. Wormhole fait office de pont et s’est fait dépouiller de 323 millions de dollars (environ 289 millions d’euros) au mois de février. La plateforme est un rouage de l’écosystème, en connectant Ethereum, Solana, Terra et Binance Smart Chain.

Dans le cas de Ronin, des clés privées piratées ont été mises en œuvre lors du piratage pour générer de faux retraits et contourner les dispositions visant justement à empêcher toute opération frauduleuse. L’attaquant a trouvé une porte dérobée à partir de laquelle il a pu obtenir la signature du nœud tiers et mené à bien son larcin.

Les casses dans la crypto continuent

C’est un peu par hasard que le problème a été découvert par Ronin. En effet, il a fallu un signalement d’un utilisateur ne parvenant pas à retirer 5 000 ethers du pont (ce qui représente une transaction de 15 millions d’euros environ) pour découvrir le pot aux roses. Cela explique l’écart de plusieurs jours entre l’attaque (23 mars) et la communication (29 mars).

« Nous travaillons avec les forces de l’ordre, les cryptographes spécialisés en criminalistique et nos investisseurs pour nous assurer que tous les fonds sont récupérés ou remboursés. Tous les AXS, RON, et SLP sur Ronin sont en sécurité », développe le communiqué. Des échanges ont par ailleurs lieu avec les investisseurs de Sky Mavis pour redonner les fonds aux internautes lésés.

Ces braquages numériques connaissent un certain essor, compte tenu des gains très importants qu’il est possible d’obtenir. Les montants évoqués ces derniers mois ont de quoi donner le tournis : 120 millions volés à BadgerDAO en décembre, 150 millions perdus sur BitMart le même mois, 600 millions du côté de Poly Network, mais aussi Crypto.com, Bitfinex et même des NFT.

Les opérations de piratage de haute volée ne sont pas les seules à être utilisées pour tenter de subtiliser des crypto-actifs. Des cas de détournements de sites web ont aussi été rapportés pour escroquer des internautes (le site bitcoin.org en a été victime), tout comme des incidents avec de fausses publicités diffusées à travers le réseau de Google.