Lors d'un piratage sophistiqué survenu le 3 septembre 2024, une vulnérabilité dans les contrats intelligents du protocole Penpie a été exploitée, entraînant le vol de plus de 27 millions de dollars. Penpie, un protocole de rendement sur Pendle conçu pour maximiser les récompenses de ses utilisateurs, est devenu la cible d'une attaque bien coordonnée.
Le piratage et les premiers mouvements
Le hacker, en découvrant la vulnérabilité, a réussi à vider les fonds du protocole Penpie. Peu après, les fonds volés ont été répartis sur sept adresses :
0xd440d2c13e9c0b86f54da4f515f68c56f0c36cc3
0x37767e2d9131c84441567da5474158b0918b65a4
0x8c37ad70ce51e54d2d75da40668e9530d337f26b
0x10f8c81386a2563f687011f4ebc8f2091cb501e8
0x688413d6cae1c0e0882e274a98e0b901fdf7233c
0xf61aa5fdb43ecbb90ff12086045c9432eee3d03e
0x415a7916c0f52a95f16034d74fb89528c0fc1b11
Dans une tentative de brouiller la piste, le hacker a canalisé les fonds volés via le service de mixage de cryptomonnaies axé sur la confidentialité Tornado.cash. Comme dans de nombreux cas similaires, retracer les fonds à travers Tornado.cash a présenté des défis importants en raison de la nature des ruptures de chaîne de transactions qui se produisent lors du mixage. Cependant, en utilisant des techniques avancées, les analystes de Match Systems ont pu identifier des destinations probables pour une partie des fonds blanchis.
THORChain et la consolidation en BTC
Après être passés par Tornado.cash, l'essentiel des actifs volés — s'élevant à 4 879 ETH — a été retracé jusqu'au pont de cryptomonnaies THORChain. De là, les fonds ont été convertis et consolidés en jetons BTC. Ces fonds ont été répartis sur diverses adresses « collectrices » par tranches de 4 ou 8 BTC, pour un total de 188 BTC (une partie des fonds a été mélangée à des fonds provenant d'autres piratages) :
bc1qqhlf4vau5k9skw3kfleanuc52y9vwevjg3e8du
bc1q08xthryj52nf7gmk0j8v8zr8vumt2wfguvftxj
bc1q6m6xfryxqplmz07kr0g3atzrcmtnynr3d2r6xd
bc1qgasehvksj4kj9tz93l5z8eyhqenm42xf9clu7d
bc1qg62v4q5lgtqq5a87epx56nfhmv4jtmmgcf99el
bc1qv8tdsa42s7n8z3cj7ygy59lrkr3uumar7qgygy
bc1qvq79fqwnlyzsruc9qxya0m5g8nl806dtnsug3v
bc1qfyejx568ephjtwsqt2nt4kfksygsl72grqfr0g
bc1qk2g2xavrlwqq92lam6hjallx8893cdrxxkqky4
bc1qp8lptxmzj9hz3pfey37j2kp6vjgadmgfklvdyp
bc1qhkkqcmjqgld2kd7p7c7m4svgmtgylhdryzw5f8
bc1q30rt7lfkh0ezkgf3pxygp09zgaycwlwu7ea8r8
bc1qdvkwmmnwfryua36el5y2xnqt2w7x6447hy5nxc
bc1qgrglcudgxesyuv23cwxasuw0zanh6qks5eu5es
bc1qzhsge8z4ffrlrhkrw7wxd59e6u5tfd9u3lvk09
bc1qgf9t2ysgpcnxp8g2y0hk9zushxc0z3kqr682zt
bc1qq3wjvfuesc9wewkuz7nxkmhgs260exmxjqt8sd
bc1q2cm7mflnplasnxetn5mrkcqc7zwuyfjmm3vnyy
bc1q9v6dwrgncam92wwk5d8hkd4yghqt2gn8jqmqky
bc1qqc8a5e9klvh45s60szuppha669n0r0dgm4dtqn
bc1q72e5nxlzmfpv60pkf2gqhy4n9drtm2x8t77w7g
bc1qzfvpynh3eq0gcl6mw3zg0ga6z63u2ujhglhza9
bc1qw8vmz4fexld6hhjxpfua9n3j0wfxyu6xahzmp3
bc1q9t6ztrahwvh25rjtzk3ltkxwwk5ef6lwkhyx5g
bc1q9reefhx8p3vw6re3yhgvx8776xt8xczpcw0y7l
bc1qk6ty9lnyz7rg0wxsurgxswppe9mkk2r740jac6
bc1qzq435fc5umvr000nelu4r9gk5dx3xyp2zwsmy3
bc1qy6aws20q5q6rst9zs93x2jn2tg9t7xtelcqmw8
bc1qk0kkapemem6ys03e234wask5jcy8qkrrt6fm94
bc1qyj95msu7exzvvunseqy5v52xgpexecllqh76ry
bc1qhd7qyalqes9gy3yjua6rx75ywxl42x5dt6ea0k
bc1q8y9e36567433u0u5cym6neprm4e9uj0gw5wy96
bc1q2jz93p8ugmcnxvgqxdv99yz8jr5nykud4v45k4
Mouvements de fonds supplémentaires
Bien que la majorité des fonds volés aient été acheminés via THORChain, une portion plus petite, d'environ 4 082 ETH, a été envoyée à la plateforme Exch. Cette portion reste sous investigation. Le reste des actifs a été réparti sur plusieurs dizaines d'adresses après le mixage.
La toile complexe du blanchiment de crypto
Cette attaque met en évidence les méthodes de plus en plus sophistiquées que les hackers emploient pour voler et blanchir des fonds via des plateformes décentralisées. Tornado.cash et les ponts inter-chaînes comme THORChain sont devenus des outils clés pour masquer l'origine des fonds illicites, rendant difficile pour les forces de l'ordre et les analystes blockchain de retracer le flux complet des actifs volés.
L'attaque de Penpie est un parfait exemple de la bataille continue entre les cybercriminels et les professionnels de la cybersécurité. Bien que l'usage de mixeurs crée des barrières importantes au suivi, les techniques avancées de « demixing » et les outils d'analyse blockchain ont permis de rétablir une partie des liens transactionnels.
Match Systems, un leader de la cybersécurité, a activement participé au traçage de cette affaire, en tirant parti de technologies de pointe pour retracer les actifs volés, même si les résultats restent probabilistes plutôt que définitifs.
Cette attaque constitue un rappel brutal qu'à mesure que le monde de la finance décentralisée (DeFi) continuera de croître, la sophistication de ceux qui cherchent à en exploiter les vulnérabilités croîtra elle aussi.
La visualisation simplifiée du mouvement des fonds
Populaires
- Articles Un utilisateur légitime peut voir son USDT gelé à cause de fonds au passé contaminé.
- Articles Peut-on récupérer les cryptomonnaies volées ?
- Actualités Arnaque au faux lien de réunion : comment la crypto est volée
- Actualités Sanctions contre HTX : risques pour les actifs crypto
- Articles Comment les hackers volent des cryptomonnaies
- Actualités Tether a dégelé 79 M$ — et nous savons pourquoi
- Articles Crypto volée ? Les 60 premières minutes décident de ce qui est récupérable.
- Actualités Récupération de cryptoactifs via les réseaux OTC
- Articles Tether a gelé vos USDT : que se passe-t-il et que faire
- Articles Les portefeuilles crypto sont piratés via les appareils, les applis et l’erreur humaine, pas via la blockchain.