Cette semaine, le Le réseau de crypto-monnaie Ronin a révélé une brèche dans laquelle les attaquants se sont emparés de 540 millions de dollars d’Ethereum et de stablecoin USDC. L’incident, qui est l’un des plus gros cambriolages de l’histoire de la crypto-monnaie, a spécifiquement siphonné des fonds d’un service connu sous le nom de Ronin Bridge. Les attaques réussies contre les “ponts blockchain” sont devenues de plus en plus courantes au cours des deux dernières années, et la situation avec Ronin est un rappel important de l’urgence du problème.
Les ponts blockchain, également appelés ponts réseau, sont des applications qui permettent aux utilisateurs de déplacer des actifs numériques d’une blockchain à une autre. Les crypto-monnaies sont généralement cloisonnées et ne peuvent pas interagir – vous ne pouvez pas effectuer de transaction sur la blockchain Bitcoin en utilisant Dogecoins – les “ponts” sont donc devenus un mécanisme crucial, presque un chaînon manquant, dans l’économie des crypto-monnaies.
Les services de pont “enveloppent” la crypto-monnaie pour convertir un type de pièce en un autre. Donc, si vous vous rendez sur un pont pour utiliser une autre devise, comme le Bitcoin (BTC), le pont recrachera des bitcoins enveloppés (WBTC). C’est comme une carte-cadeau ou un chèque qui représente une valeur stockée dans un format alternatif flexible. Les ponts ont besoin d’une réserve de pièces de crypto-monnaie pour garantir toutes ces pièces enveloppées, et ce trésor est une cible majeure pour les pirates.
“Tout capital en chaîne est sujet à des attaques 24/7/365, donc les ponts seront toujours une cible populaire”, déclare James Prestwich, qui étudie et développe des protocoles de communication inter-chaînes. « Les ponts continueront de se développer car les gens voudront toujours avoir la possibilité de rejoindre de nouveaux écosystèmes. Au fil du temps, nous nous professionnaliserons, développerons les meilleures pratiques et il y aura plus de personnes capables de construire et d’analyser le code de pont. Les ponts sont suffisamment récents pour qu’il y ait très peu d’experts.
En plus du braquage de Ronin, les attaquants ont volé environ 80 millions de dollars de crypto-monnaie à Qubit Bridge fin janvier, environ 320 millions de dollars à Wormhole Bridge début février et 4,2 millions de dollars quelques jours plus tard à Meter.io Bridge. De manière mémorable, le pont Poly Network s’est fait voler environ 611 millions de dollars de crypto-monnaie en août dernier, avant que l’attaquant ne rende les fonds quelques jours plus tard. Dans toutes ces attaques, les pirates ont exploité les vulnérabilités des logiciels pour drainer des fonds, mais l’attaque du pont Ronin avait un point faible différent.
Ronin a été créé par la société vietnamienne Sky Mavis, qui développe le populaire jeu vidéo basé sur NFT Axie Infinity. Dans le cas de ce piratage de pont, il semble que les attaquants aient utilisé l’ingénierie sociale pour accéder par ruse aux clés de cryptage privées utilisées pour vérifier les transactions sur le réseau. Et la façon dont ces clés ont été configurées pour valider les transactions n’était pas d’une rigueur maximale, permettant aux attaquants d’approuver leurs retraits malveillants.
“Comme nous l’avons vu, Ronin n’est pas à l’abri de l’exploitation, et cette attaque a renforcé l’importance de donner la priorité à la sécurité, de rester vigilant et d’atténuer toutes les menaces”, a écrit la société dans sa déclaration initiale sur l’incident de mardi.
Ronin a découvert la brèche ce jour-là, mais les « nœuds de validation » de la plate-forme avaient été compromis le 23 mars. Les attaquants ont volé 173 600 Ethereum et 25,5 millions d’USDC. Ronin Bridge est en panne depuis et les utilisateurs ne peuvent pas effectuer de transactions sur la plateforme.