Plus de 600 millions de dollars en cryptomonnaies volés du jeu vidéo Axie Infinity

0
197

À la faveur d’une attaque menée contre le célèbre jeu vidéo Axie Infinity, des cybercriminels ont subtilisé 625 millions de dollars en cryptomonnaies, ont déclaré mardi les dirigeants de la société. Cet événement s’impose ainsi comme l’un des plus grands vols de cryptomonnaies à ce jour.

Ci-dessous le commentaire de Dane Sherrets, Architecte solutions chez HackerOne, spécialiste de la sécurité collaborative, travaillant avec une communauté de hackers éthiques pour sécuriser les systèmes d’information des organisations.

« La cyberattaque visant Axie Infinity est l’un des plus importants vols de cryptomonnaies jamais commis. Les cybercriminels ont exploité une faille sur la sidechain Ronin, une blockchain secondaire du protocole Ethereum, créée spécifiquement pour le jeu Axie Infinity par son studio créateur Sky Mavis. Le montant volé s’élève à 625 millions de dollars – ce qui n’est effectivement pas un petit chiffre. 

Cependant, ce n’est pas le premier piratage d’un bridge de l’ordre de plusieurs millions de dollars, et ce ne sera pas le dernier. La construction de ces bridges qui permettent à différentes blockchains de communiquer est l’un des problèmes d’ingénierie les plus difficiles à résoudre dans l’espace blockchain. 

Lorsque l’on parle de crypto et de blockchain, ce serait une erreur d’oublier le Web3 – un terme qui résonne dans la Silicon Valley et d’autres pôles technologiques dans le monde entier. Pour simplifier, le Web3 est construit sur la blockchain. La technologie blockchain n’est pas seulement utilisée pour les cryptomonnaies, elle sert aussi à contrôler le fonctionnement des applications (comme les “DApp”, ou “applications décentralisées”). 

Au cours de cette évolution de l’Internet, malgré les différences entre Web2 et Web3, certaines des meilleures pratiques de sécurité doivent continuer à s’appliquer : le Monitoring comportemental et le Principe de Moindre Privilège. Revenons à l’attaque visant Axie Infinity : il est logique de dire qu’un monitoring qualitatif aurait permis de détecter l’attaque avant qu’une semaine ne soit passée. De plus, le fait qu’un validateur (Axie DAO) était toujours sur la liste d’autorisation pendant environ 3 mois après le moment où il était censé ne plus l’être, est une enfreinte au Principe de Moindre Privilège. La mise en œuvre de ces pratiques aurait aidé Axie Infinity, et d’autres organisations, à sécuriser leurs plateformes en ligne, et à limiter les conséquences des attaques. Maintenant, une question demeure : avec un montant aussi important, comment les attaquants vont-ils faire pour déplacer plus d’un demi-milliard de dollars sur un ledger public, quand tout le monde sait que cette somme a été volée ? »