Lympo et LCX – Plus de 25M$ dérobés dans deux attaques en moins d’une semaine

Il aurait été vain d’espérer que le début de l’année 2022 se déroule différemment de la fin de la précédente. Et comme une piqure de rappel, de nouvelles attaques viennent confirmer cette malédiction sur la dernière semaine. Car à peine les compteurs remis à zéro, ce sont plus de 25 millions de dollars au total qui ont déjà disparu dans le trou noir des attaques de cette saison qui débute. Cela suite à deux vidanges en règle de portefeuilles chauds en relation à des plateformes censés en garantir la sécurité. Et cette éternelle mauvaise rengaine d’un hacker parti avec les fonds dérobés. En laissant derrière lui des utilisateurs face aux « stratégies » de dédommagement écrites comme le code de ces dernières.

Il n’aura pas fallu attendre longtemps pour relancer le curseur du montant total dérobé chaque année dans l’univers des cryptomonnaies. Au point de se demander s’il ne serait pas nécessaire de mettre en place un indicateur dédié à cette Total Value Stolen (TVS). Et cela sur le même modèle que la valeur totale verrouillée (TVL) utilisée pour mesurer la force des différents réseaux de la DeFi. Car le montant impliqué représente désormais des milliards de dollars de pertes, le plus souvent à la charge des utilisateurs. Avec comme seule véritable stratégie de réparation, la mauvaise conscience de l’attaquant vaguement harcelé afin de le pousser à restituer les fonds dérobés.

Une réalité qui nécessite néanmoins d’être divisée en deux camps distincts. Avec comme ligne de démarcation le degré de (dé)centralisation sur lequel repose l’exchange ou le protocole attaqué. Non pas que cela rende les pertes plus agréables ou moins importantes. Mais dans le cas d’une plateforme centralisée (CEX), la responsabilité peut être imputée à une structure précise en charge d’un dédommagement éventuel. Alors que dans le cas d’un protocole de la DeFi, seul le code et la bonne volonté communautaire comptent. Avec au centre de tout cela une seule règle véritablement importante : le choix éclairé – et un peu la chance – de l’utilisateur.

La plateforme NFT Lympo nettoyée de 18,7M$

Et au sein de cette actualité de début d’année, le record revient pour l’instant à la plateforme Lympo. Un projet dédié au marché des jetons NFT, tout spécialement orienté dans le domaine du sport au sens large. Et une structure qui n’est autre que l’une des nombreuses filiales du géant Animoca Brands. Ce dernier très impliqué dans le développement du secteur, avec son métavers à succès The Sandbox (SAND) ou encore le jeu F1 Delta Time. Et comme dernière opération en relation à Lympo, la possibilité de mettre ses NFTs en staking afin de toucher des récompenses avec sa cryptomonnaie native LMT. Mais tout ne s’est pas passé comme prévu…

Un projet lancé à la fin de l’année dernière. Avec comme principale vocation présentée par son actuel PDG Ada Jonuse, l’équité et une structure à faible maintenance. Une déclaration qui peut faire un peu peur, avec l’éclairage actuel. Car durant la journée d’hier, un hacker a réussi à s’emparer de 165,2 millions de ses LMT, pour un total de 18,7 millions de dollars au moment des faits. Mais dorénavant à peine 1,6 million de dollars suite à son effondrement de plus de 90% en moins de 24h. Le tout dérobé suite à une violation de la sécurité d’une dizaine de portefeuilles « chauds » présents sur la plateforme.

Un tweet publié ce matin par le compte de la plateforme Lympo explique que son équipe travaille actuellement à « la stabilisation de la situation. » Avec comme première mesure, une suppression de la liquidité encore présente dans les différents pools de LMT afin de « minimiser les perturbations de prix. » Et comme conséquence directe, une quasi impossibilité pour ses utilisateurs d’effectuer des opérations et/ou de revendre leurs NFTs. Tout cela alors que dans le même temps, le PDG d’Animoca Brands explique travailler à un plan de relance avec Lympo. Mais tout en avouant ne pas avoir de « mécanismes spécifiques » pour le faire.

L’exchange LCX perd 8M$

Et comme à chaque fois, la procédure semble se répéter comme une mauvaise habitude. Car dans le cas de la plateforme LCX, ce sont encore les fonds détenus dans des hots wallets qui ont été visés. Et cela pour un total estimé à 7,94 millions de dollars de pertes. Il s’agit de ces portefeuilles « chauds » indispensables au fonctionnement des plateformes centralisées, afin de leur fournir une liquidité disponible en quantité suffisante. Mais dont l’une des raisons d’être est la prétendue sécurité que ces dernières sont censées fournir en échange. Car quel intérêt de déléguer ses fonds à ce type de structures si cela ne permet pas de les protéger un minimum ?

Et dans le cas présent, cette procédure semble résulter une nouvelle fois de clés privées « compromises. » Cela suite à une opération effectuée le 8 janvier dernier. Mais mise à jour par la structure de sécurité PeckShield avant même que l’exchange ne s’en rende compte. Du coup il était déjà trop tard. Et ce sont au final des quantités variables de cryptomonnaies MKR, ENJ, LINK, QNT, SAND, ETH, LCX et USDC qui disparaissent dans la nature.

Quoi qu’il en soit, et comme d’habitude, les solutions interviennent une nouvelle fois après les faits. Avec une plateforme LCX qui garantit que ses utilisateurs seront indemnisés à l’aide de ses fonds propres. Mais également que leurs données privées n’ont pas été compromises lors de cette attaque. Une bonne nouvelle, si l’on considère que se faire rembourser d’un vol est une mesure suffisante du degré de sécurité que l’on souhaite pour le secteur des cryptomonnaies. Mais il faudra peut-être à un moment exiger un peu plus…