4 millions de dollars en Ethereum volés ! Le processus de blanchiment d'argent des hackers dévoilé en intégralité, le mécanisme multisignature compromis

Unleash Protocol a révélé mardi une perte de 1 337 ETH d’une valeur de 4 millions de dollars suite à une attaque. Peckshield et CertiK ont suivi la trace, montrant que les hackers ont utilisé Tornado Cash pour blanchir de l’argent, en envoyant plusieurs transactions de 100 ETH vers des services de mixage. Les attaquants ont obtenu un contrôle non autorisé du système de gouvernance multi-signatures, probablement en utilisant l’ingénierie sociale pour exécuter des mises à jour de contrats non approuvées, contournant ainsi les vérifications pour retirer des fonds.

Enregistrement de la traçabilité du blanchiment via Tornado Cash

Selon les dynamiques on-chain et les rapports de plusieurs sociétés de sécurité, les hackers tentent d’utiliser le protocole Tornado Cash sur Ethereum pour blanchir de l’argent. Tornado Cash est un service de mixage de cryptomonnaies qui, en mélangeant les fonds de plusieurs utilisateurs, coupe le lien traçable entre la source et la destination des fonds, rendant difficile pour les autorités de suivre le flux financier.

Peckshield indique que l’attaquant aurait envoyé de nombreux blocs de 100 ETH à ce service de mixage populaire. Cette stratégie de transfert par lots est typique du blanchiment d’argent, car transférer une grosse somme en une seule fois est plus facilement détecté par les systèmes de surveillance. En divisant 1 337 ETH en 13 à 14 transactions de 100 ETH, espacées dans le temps, ils réduisent le risque d’être détectés immédiatement.

CertiK a commencé à marquer des retraits suspects de Wrapped ETH et de jetons IP, envoyés vers un compte externe apparemment configuré via SafeProxyFactory. Ce détail technique révèle le niveau de professionnalisme des hackers : SafeProxyFactory est l’usine de contrats de Gnosis Safe (rebaptisé Safe), utilisée pour déployer de nouveaux portefeuilles multi-signatures. Les hackers ont utilisé cet outil pour créer des portefeuilles temporaires afin de recevoir les fonds illicites, montrant une compréhension approfondie de l’écosystème Ethereum.

Les actifs affectés incluent des tokens en cours de développement (WIP), USDC, WETH, stIP et vIP, dont la majorité a été bridgée vers Ethereum et envoyée à Tornado Cash. Le processus de pontage lui-même complique la traçabilité, car lors du transfert inter-chaînes, les fonds passent par plusieurs contrats et adresses, diluant la piste. Une fois dans Tornado Cash, les fonds sont mélangés avec ceux d’autres utilisateurs, formant une « boîte noire » où la correspondance entre entrée et sortie est impossible.

Il est important de noter que Tornado Cash est depuis 2022 sous sanctions du Département du Trésor américain, son utilisation étant en soi une infraction. Cependant, la sanction n’a pas totalement arrêté son fonctionnement, car Tornado Cash repose sur un protocole décentralisé basé sur des contrats intelligents, impossible à fermer comme un service centralisé. Les hackers sont prêts à prendre le risque juridique en utilisant Tornado Cash, ce qui témoigne de leur vigilance face aux techniques de traçage.

Comment le système de gouvernance multi-signatures a été compromis

Mardi matin, Unleash a révélé une faille de sécurité. Le projet a suspendu ses opérations et a commencé une analyse forensique de l’attaque, qui semble provenir d’une compromission du mécanisme multi-signatures. Sur X, Unleash a écrit : « Notre enquête préliminaire indique qu’une adresse contrôlée par une partie externe a obtenu le contrôle de gestion via la gouvernance multi-signatures d’Unleash, et a effectué une mise à jour de contrat non autorisée. »

En d’autres termes, l’attaquant a obtenu un contrôle non autorisé sur le système de gouvernance d’Unleash Protocol, probablement par ingénierie sociale ou exploitation d’une vulnérabilité de sécurité, leur permettant d’exécuter une mise à jour contournant les contrôles normaux, et de retirer des fonds des utilisateurs. Ce mode opératoire, courant dans la DeFi, soulève des inquiétudes malgré la sécurité relative des mécanismes multi-signatures.

Trois scénarios d’échec du mécanisme multi-signatures

Attaque par ingénierie sociale : les hackers envoient des emails de phishing ou des messages falsifiés pour inciter plusieurs signataires à divulguer leurs clés privées

Mauvaise conduite interne : un ou plusieurs détenteurs de clés privées de la multi-signature conspirent ou sont achetés par les hackers

Vulnérabilité du contrat : le contrat multi-signature lui-même comporte une faille dans le code permettant aux attaquants de contourner l’exigence de signature

La déclaration d’Unleash soulignant que « l’adresse contrôlée par une partie externe » a obtenu le contrôle suggère que ce n’est pas nécessairement un acte interne, mais plutôt une attaque externe via des techniques techniques ou sociales pour obtenir suffisamment d’autorisations. La mise à jour a permis de retirer des fonds sans l’accord de l’équipe d’Unleash, en dehors des processus de gouvernance et d’opération prévus, montrant que l’attaquant a obtenu un contrôle total.

Alerte sécurité de l’écosystème Story Protocol

Unleash indique : « L’incident provient du cadre de gouvernance et de gestion des permissions du protocole Unleash », et ajoute que « l’impact semble limité aux contrats et contrôles de gestion propres à Unleash », et qu’« aucune preuve n’indique que les contrats de Story Protocol, les validateurs ou l’infrastructure sous-jacente aient été affectés ». Cette déclaration vise à limiter la portée des dégâts à Unleash, évitant d’étendre la crise à l’ensemble de l’écosystème Story Protocol.

Unleash fait partie des nombreuses applications construites sur Story Protocol. Ce dernier est un protocole Layer 1 relativement récent, axé sur la tokenisation de la propriété intellectuelle. La société derrière Story, PIP Labs, a levé 1,4 milliard de dollars, avec des investisseurs parmi les plus grands fonds de capital-risque. Si cet incident de blanchiment d’argent remet en question la sécurité de l’écosystème Story Protocol, cela pourrait affecter d’autres applications basées sur ce protocole et la valorisation globale.

L’équipe d’Unleash a averti les utilisateurs de ne pas interagir avec le protocole, et a promis de partager rapidement toute nouvelle information dès qu’elle sera disponible, notamment sur l’attaque et les mesures correctives potentielles. La suspension des opérations est une mesure standard pour empêcher les hackers d’exploiter davantage la faille, mais cela prive aussi temporairement les utilisateurs légitimes d’accès à leurs actifs.

Au sens large, cet incident de blanchiment d’argent met en lumière à nouveau les risques liés à la gouvernance dans la DeFi. Bien que les mécanismes multi-signatures soient plus sûrs que la signature unique, ils dépendent toujours de l’action humaine, qui reste la faiblesse la plus vulnérable. Avec la croissance de la valeur verrouillée dans la DeFi, les attaques ciblant la gouvernance pourraient devenir plus fréquentes et sophistiquées.