Hier, 17 juillet 2017, un pirate est arrivé à voler plus de 8 millions de dollars en ether dans les toutes premières minutes de l’ICO de CoinDash, qui propose (toujours, d’après les responsables) une plateforme d’échange pour trading décentralisée.
Comme dans toutes les ICO, les investisseurs acquièrent une participation et s’embarquent dans l’aventure entrepreneuriale en achetant des actifs numériques appelés jetons. Ce moyen de financement est devenu très populaire sur Ethereum. Ils sont nombreux à vouloir participer dans l’espoir d’émuler certaines succes-stories mémorables qui ont récolté des millions de dollars en quelques minutes et en direct. Mais même des applications très banales (voire ridicules) arrivent à lever des milliers de dollars, ce qui dépasse leur espoir via les circuits classiques.
Une ICO est une opération technique très complexe dans les coulisses. Elle se doit toutefois de garder une simplicité enfantine pour l’investisseur final afin d’encourager la participation. C’est pourquoi Coindash a fait au plus simple, comme beaucoup d’autres prédécesseurs: il a publié une chaîne de texte sur la page web principale représentant l’adresse ethereum pour la récolte de fonds.
Les investisseurs n’avaient qu’à envoyer leur argent à cet adresse.
L’ICO a commencé à 15h précises (heure de Paris) ce lundi. Quelle a dû être la surprise dans les locaux de CoinDash en voyant dans les premières secondes le montant de la levée figé à zéro. L’ICO était présentée comme l’une des plus prometteuses de l’été et il n’y avait aucune chance de ne rien lever. N’importe quelle ICO voit ses compteurs monter, surtout dans les premières heures. L’inconnu est le montant final, mais personne n’a jamais enregistré une levée zéro!
Quelle explication pouvait-on donner?
On imagine les techniciens devant l’écran parcourir en imagination les couches de l’application. Que peut-il bien se passer? Une faille dans Ethereum à très bas niveau? Difficile à croire. Une erreur dans le token? Improbable: on est encore dans la phase de récolte initiale. Un bug dans le back-end de notre site web? Non: à ce stade de la levée cela ne devrait pas impacter ce qui va dans le registre public blockchain. Dans le front-end? On n’y croit pas.
Quelques minutes plus tard, CoinDash fermait le site et affirmait, via un communiqué public que le site Web avait été piraté, demandant de ne plus rien envoyer à l’adresse de récolte.
- On a évoqué une faille dans le protocole ERC20, le même jusqu’ici utilisé pratiquement pour toutes les ICO Ethereum. Cela aurait été assez grave parce que ça aurait pu remettre en discussion les ICO suivantes.
- Certains sur twitter, imaginant une faille dans Ethereum, se demandaient déjà si Vitalik allait imposer un hard-fork pour récupérer l’argent de CoinDash… (n’importe quoi)
- On a aussi évoqué la complicité de l’équipe CoinDash ou d’un des employés, qui ayant accès au système aurait facilement pu détourner les fonds.
Finalement, le hack a été incroyablement simple: le pirate a tout simplement pris le contrôle du site officiel de Coindash et remplacé la textbox contenant l’adresse Ethereum de la société par sa propre adresse de portefeuille éther. Lorsque les gens envoyaient des ethers à Coindash, ils les envoyaient ainsi au pirate et non pas à l’entreprise.
Même si Coindash a rapidement trouvé la faille, trois minutes seulement après le lancement de l’ICO, le drame était consommé. Plus de 8 millions de dollars perdus pour l’ICO qui devra vraisemblablement rembourser (heureusement pour eux, sous forme de tokens).
« Tout ce que nous savons maintenant, c’est qu’un pirate externe a changé d’adresse immédiatement après la vente« , a déclaré Ram Avissar, directeur marketing de Coindash, via leur Slack. « Nous avons arrêté l’ICO et nous étudions la meilleure manière de compenser les victimes…Tous les investisseurs de CoinDash obtiendront leurs jetons »
