Après avoir subi un vol spectaculaire de 600 millions de dollars en cryptomonnaie, Poly Network a travaillé avec le hacker responsable du forfait (qu’il a depuis remboursé), afin de combler la faille de sécurité qu’il a exploité. L’entreprise lui a même proposé le poste de chef de la sécurité !
De voleur mystérieux à chef de la sécurité, le trajet est plutôt singulier ! Si les entreprises emploient régulièrement des hackers éthiques pour veiller à leur cyberdéfense, l’affaire de Poly Network demeure un cas d’espèce.
Un hacker dérobe à Poly Network 611 millions de dollars en Ethereum, Binance et Polygon
Mi-août 2021, la plateforme d’interopérabililité entre blockchains a en effet subi un hack spectaculaire, conduisant à un vol massif de cryptomonnaie. En tout, le voleur a subtilisé 273 millions de dollars en token sur la blockchain Ethereum, 253 millions de dollars en token sur la blockchain Binance Smart Chain, et 85 millions de dollars en USDC sur la blockchain Polygon, soit un total de 611 millions de dollars.
L’entreprise a alors demandé au voleur, via un tweet, de « rendre les actifs volés » : « La somme d’argent que vous avez volée est la plus importante jamais dérobée de l’histoire de la finance décentralisée. Un tel acte est considéré comme un crime économique majeur dans tous les pays, et vous serez poursuivi. Il serait peu judicieux d’essayer de faire des transferts. L’argent que vous avez volé vient de dizaines de milliers de personnes de la communauté crypto, et donc du peuple. Nous devrions parler pour trouver ensemble une solution », détaillait Poly Network.
Un voleur fort désinvolte
Le hacker a alors répondu, en s’envoyant à lui-même une transaction Ethereum, puis via un site dédié à ses échanges avec Poly Network, et avec beaucoup de désinvolture : « J’aurais pu faire un hack à un milliard si j’avais bougé les shitcoins [les cryptomonnaies ayant peu de valeur, ndlr] ! Est-ce que je viens de sauver le projet ? Pas trop intéressé par l’argent, je vais peut-être rendre quelques token ou les laisser là ».
Peu de temps après, le voleur a finalement rendu l’argent, et a révélé que son forfait visait à montrer la vulnérabilité de ce type de plateformes, « pour le fun ». Il a multiplié les messages sur son site, s’amusant visiblement de sa popularité croissante. Il se présentait comme un hacker « white hat », un hacker éthique, ceux qui traquent les bugs et failles pour les révéler, sans chercher à les exploiter pour leur intérêt personnel ou celui d’un tiers.
White Hat or not White Hat ?
Il a toutefois reconnu lui-même avoir un peu hésité avant de choisir son camp. Celui que Poly Netword désigne désormais sous le sobriquet de « Mr. White Hat » a en effet, un temps, envisagé de conserver la somme dérobée : « Je voulais faire quelque chose de cool avec cette énorme somme. Puis je me suis dit que le hack le plus cool que je pouvais faire était d’être un leader moral », a-t-il avoué.
Ce « Mr. White Hat » a alors accepté de collaborer avec les équipes de Poly Network pour les aider à combler la faille de sécurité qu’il avait exploité. Ce travail a, visiblement, convaincu la plateforme.
Une prime de 500 000 dollars et un poste de chef de la sécurité pour « Mr. White Hat »
Poly Network a en effet indiqué : « Nous sommes très reconnaissants envers Mr White Hat pour sa contribution à notre projet. Il y a eu certaines incompréhensions entre nous, au début de notre interaction, notamment à cause de moyens de communication médiocres. Nous comprenons maintenant mieux les motivations de Mr White Hat, et nous partageons sa vision et son ambition pour le secteur de la finance décentralisée ».
La direction a même été beaucoup plus loin. Elle a en effet annoncé avoir récompensé le hacker en lui versant une somme de 500 000 dollars, et lui a proposé un poste à haute responsabilité : « Nous l’invitons à rejoindre notre équipe en tant que chef de la sécurité », a indiqué Poly Network sur son compte Twitter. Un quasi-conte de fée moderne, en somme…