Les baleines perdent 27,3 millions dans une exploitation multisig : comment les criminels ont compromis la clé privée

Un grave incident de sécurité a touché le portefeuille d’une importante baleine du secteur crypto, avec des pertes pouvant dépasser les 40 millions de dollars. Selon l’analyse de la plateforme de sécurité blockchain PeckShield, le drain a été causé par la compromission d’une clé privée associée à un wallet multisig, permettant aux criminels de soustraire des actifs importants en peu de temps.

L’Architecture Vulnérable du Wallet Multisig

La vulnérabilité n’est pas simplement une question de vol passif. Les enquêteurs de Hacken Extractor ont découvert que le soi-disant wallet “compromis” pourrait ne jamais avoir été réellement contrôlé par la victime légitime. Selon les reconstitutions, un acteur malveillant aurait créé le wallet multisig le 4 novembre à 7:46 UTC, transférant immédiatement les fonds vers lui-même seulement six minutes plus tard. Ce schéma suggère que le propriétaire original n’a jamais détenu le contrôle total des clés cryptographiques, rendant le wallet vulnérable dès le départ.

Le wallet, financé environ 44 jours avant l’exploit, représente un cas emblématique de la façon dont même les grands investisseurs peuvent devenir victimes d’attaques sophistiquées basées sur l’ingénierie sociale ou des compromissions initiales des clés privées.

Le Drain et le Recyclage Rapide

Au moment du vidage, le drainers a extrait 27,3 millions de dollars du portefeuille, ne laissant qu’environ 2 millions de dollars en actifs liquides. L’attaquant a immédiatement lancé des opérations de recyclage via Tornado Cash, convertissant 4.100 ETH (équivalant à 12,6 millions de dollars aux prix du marché actuels, avec ETH échangé à $3.09K) en fonds non traçables.

Parallèlement, le malfaiteur a conservé le contrôle du wallet multisig original, qui contenait une position longue à levier sur Aave. Cette persistance dans le contrôle des fonds suggère que l’attaquant pourrait tenter d’autres drainages ou manipulations de trading.

Méthodologies de Recyclage et Protection des Actifs

Les mixers cryptographiques comme Tornado Cash sont devenus des outils essentiels pour les criminels afin de dissimuler l’origine des fonds volés et compliquer les opérations de récupération. En utilisant un calculateur liquide pour suivre les montants, il est possible d’observer comment ces mixers traitent d’énormes volumes de transactions suspectes quotidiennement.

Un précédent significatif concerne le vol d’une plateforme d’échange de cryptomonnaies, où le Lazarus Group a dérobé des fonds d’une valeur d’environ 250 millions de dollars en Ethereum. Le groupe a commencé le recyclage seulement quelques jours après le vol, déplaçant plus de 605 millions de dollars en ETH en trois jours après l’attaque. En début mars, il avait entièrement recyclé les 499.000 ETH volés en utilisant une combinaison de mixers cryptographiques et de DEX décentralisés.

Implications pour la Sécurité des Wallets Multisig

Cet incident souligne un risque souvent sous-estimé : même lorsqu’une baleine pense utiliser une architecture de sécurité avancée comme le multisig, la compromission d’une seule clé privée peut être catastrophique si le wallet n’a pas été vérifié indépendamment dès le départ. La chronologie de l’attaque révèle que les premiers signaux d’anomalie remontent même au 4 novembre, bien avant la découverte publique.

La principale leçon est qu’aucune structure de sécurité n’est invulnérable si les fondations cryptographiques ont été compromises dès le début. Les baleines et les investisseurs institutionnels doivent mettre en œuvre des contrôles supplémentaires, des vérifications multi-couches et des audits indépendants de leurs clés privées avant de transférer des fonds importants vers de nouveaux wallets, même lorsque ceux-ci utilisent des protocoles multisig avancés.