Un « pirate » est parvenu en l'espace de trois minutes à détourner l'équivalent de 7,3 millions d'euros en Ether. Il lui a suffi pour cela de tirer profit de la mise en vente de jetons de CoinDash, qui espérait lever une jolie somme pour démarrer sa plateforme d'échange.
Du côté d'Ethereum, malgré la récente chute de la valeur de l'Ether, les ICO (Initial Coin Offering), des levées de fonds assurées en crypto-monnaie, vont bon train. Fin avril, Bancor mettait ainsi la main sur près de 400 000 ETH, soit environ 66,6 millions d'euros au cours du jour, de quoi aiguiser l'appétit d'autres entrepreneurs.
CoinDash se préparait pour son grand jour
Hier, à 15 heures précises, était prévue la levée de fonds pour CoinDash.io, une plateforme d'échange « sociale » qui devait permettre à tout un chacun de facilement pouvoir acheter et vendre des titres d'entreprises côtées en crypto-monnaie, ou diverses monnaies virtuelles.
Le protocole propre à ces tours de table participatifs n'a rien d'ésotérique. Pour faire simple, à partir d'un instant donné, il devient possible d'envoyer des fonds à une adresse définie, qui envoie en échange des jetons correspondant à un nombre quelconque d'actions, fixé à l'avance, de l'entreprise. Ces jetons sont ensuite échangeables comme n'importe quel autre bien. Et en général, tout se passe bien. Sauf pour CoinDash.
Une adresse n'est pas un détail anodin
Pour d'obscures raisons, CoinDash avait choisi de ne pas dévoiler l'adresse où envoyer les fonds avant l'heure du lancement officiel de son ICO, alors que l'usage veut que l'adresse cible soit rendue publique en amont. Une erreur qui va coûter cher à l'entreprise.
Le coup d'envoi est donné et l'adresse à laquelle envoyer les fonds s'affiche sur le site, et déjà les transactions affluent. Seulement, pendant quelques minutes, l'adresse mise en avant n'est pas celle prévue, mais une autre qui selon CoinDash a été mise ici par un pirate. L'entreprise mettra trois minutes à s'en rendre compte avant d'avertir ses clients sur les réseaux sociaux, sur Slack, et partout où c'était possible.
Website has been hacked.
— CoinDash.io (@coindashio) 17 juillet 2017
Durant ces quelques minutes, 43 488 ETH ont été envoyés à l'adresse frauduleuse, soit un butin de 7,3 millions d'euros au cours actuel de la crypto-monnaie. Une somme définitivement perdue pour les quelque 2 100 investisseurs floués par ce tour de passe-passe. Ironiquement, l'entreprise avait diffusé un billet de blog intitulé « Comment participer de façon sécurisée à la vente de jetons de CoinDash » (en cache), expliquant que son site web était la seule source fiable d'informations. Fichtre.
Cette précaution, visiblement insuffisante, CoinDash l'avait prise en espérant parer à des incidents qui ont émaillé d'autres ICO par le passé. Des pirates avaient par exemple pris le contrôle de comptes Twitter de sociétés sur le point de lancer leur levée de fond, en annonçant des préventes puis en pointant vers une adresse frauduleuse.
Des compensations pour les investisseurs
Depuis hier, le site de CoinDash fonctionne en mode dégradé, et n'affiche plus qu'un communiqué rédigé en anglais, chinois et coréen. Il évoque un préjudice de 7 millions de dollars pour l'entreprise, qui n'avait jusqu'ici levé que 6,4 millions auprès de ses premiers contributeurs. La société assure ne pas savoir qui est l'auteur de l'attaque. Se considérant toujours sous le coup d'une attaque, CoinDash enjoint ses investisseurs potentiels à ne surtout pas envoyer de fonds à qui que ce soit promettant une participation dans l'entreprise.
Pour ceux qui auraient envoyé leurs fonds à la mauvaise adresse, un formulaire (sur Google Docs...) a été mis en ligne, dans lequel ils doivent préciser leur identifiant de transaction et la somme envoyée. Après vérification, CoinDash leur transmettra tout de même les actions auxquelles ils auraient dû avoir droit normalement. Mais après pareil fiasco, valent-elles seulement encore quelque chose ?
