Les deux pirates français ont exploité une vulnérabilité dans le mécanisme de solvabilité du protocole de finance décentralisé Playtpus Finance et ont réussi à lui soutirer 9,19 millions de dollars. Les hackers ont été arrêtés par la police française et présentés devant la justice en fin de semaine dernière.
Un hack à 9,19 millions de dollars qui va coûter cher à deux français. Le 16 février dernier, le protocole de finance décentralisée (Defi) Playtpus Finance s’est fait pirater par une attaque de type flash-loane, l’une des plus complexe à réaliser. Les flash loans, donnent la possibilité à un utilisateur d’emprunter un montant sans garantie, en le remboursant de manière quasi instantanée.
« L’attaquant a profité d’une faille dans notre mécanisme de vérification de solvabilité USP. Ils ont utilisé un prêt flash pour exploiter une erreur logique dans le mécanisme de contrôle de solvabilité USP dans le contrat détenant la garantie », a détaillé l’entreprise dans un Tweet.
Playtpus Finance est parvenue à geler 1,5 millions d’USDT en contactant les émetteurs du stable coin USDT. Ce sont également 2,4 millions d’USDC qui ont pu être récupérés grâce à l’équipe de BlockSec, une entreprise spécialisée dans la sécurité de l’infrastructure blockchain. Les pirates eux, n’ont réellement mis la main que sur un peu plus de 200 000 euros... avant d'être arrêtés.
Travail d’équipe
En effet, quelques jours plus tard, la police française a interpelé deux français âgés de 19 et 20 ans en région parisienne. « #Cybercriminalité]La #PoliceNationale met fin à une escroquerie d'ampleur pour un préjudice de 9,5 millions de dollars sur une société américaine d’échange de cryptomonnaies. Interpellation et convocation en justice de 2 individus. Saisie de 210 000 € en cryptomonnaies », a tweeté la Police nationale.
Playtpus a quant à elle précisé que les hackeurs auraient été identifiés grâce aux efforts combinés de l'exchange de cryptomonnaies Binance et d’un analyste on-chain, Zach XBT. « La Police Nationale a arrêté et assigné à comparaître deux suspects qui auraient exploité notre plateforme. Merci à l’assistance de Binance et de ZachXBT dans la recherche de leur identité. Bravo pour l’action rapide des autorités ! ». Imprudent, l’un des pirates a soumis une demande de retrait d'USDT en utilisant un compte Binance et a pu ainsi être identifié.
Les deux mis en cause ont été présentés à la justice jeudi dernier, puis déférés devant un procureur le lendemain selon des informations du Monde. Toujours d’après le quotidien, l’un d’entre eux s’est défendu en affirmant qu’il comptait rendre l’argent après avoir signalé la faille de sécurité à la plateforme de DeFi.