Vulcan Forged (PYR) : 96 clés privées « compromises » dépouillées de 140M$

Il semble qu’une nouvelle mode se soit emparée des attaques en relation à des projets de cryptomonnaies. Cela sous la forme d’une procédure dorénavant connue sous le nom de « clés compromises » à la douceur trompeuse. Une désignation dont l’écho fait résonner cette maxime nécessaire : « pas tes clés privées, pas tes cryptomonnaies. » Mais dont la nouvelle version pourrait se résumer à une formule plus expéditive, du genre : « j’ai tes clés privées, dis adieu à tes cryptomonnaies. » Avec comme dernier exemple en date le projet Vulcan Forged (PYR) développé en relation à l’univers du crypto-gaming. Mais dont les pertes bien réelles estimées à 140 millions de dollars n’ont rien à envier à ces mondes virtuels.

Alors que le marché enregistre une baisse inquiétante, les attaques de projets de cryptomonnaies ne connaissent pas la crise. Une réalité le plus souvent en relation à des protocoles de la DeFi, mais dont la seule véritable frontière est l’ingéniosité de leurs initiateurs malveillants. Avec des montants toujours plus importants, dont l’augmentation incessante pourrait finir par prendre des airs de concours. Et une ardoise dont le préjudice total pour 2021 commence à être envisagé en milliards de dollars. Surtout si on y ajoute les dernières attaques enregistrées sous le terme générique de « clés compromises. »

Car ce type de procédure affiche un montant total volé au record de 415 millions de dollars à lui seul, selon les données du site Rekt News. Le tout dans quatre attaques au total perpétrées sur une courte période. Et dont l’actuel record appartient à l’exchange BitMart et ses 200 millions de dollars envolés suite à des clés privées dérobées. Mais également – ou surtout – à une absence de réaction significative de la part de l’exchange qui a même fini par le rendre suspect. Mais comme une attaque en chasse presque immédiatement une autre, voici venu le moment de gloire du projet Vulcan Forged (PYR).

Vulcan Forged perd 140 millions de dollars

L’histoire débute dans l’univers virtuel de la plateforme Vulcan Forged. Un espace dédié au crypto-gaming dont l’écosystème (VulcanVerse) repose sur la cryptomonnaie PYR. Cette dernière à la tête d’une hausse de plus de 2000% entre sa date de lancement en avril (2$) et son dernier ATH du 1er décembre (49$). Tout cela en pleine euphorie du marché pour tout ce qui touche au secteur des métavers et ses dérivés de jeux vidéo. Mais dont le modèle de fonctionnement comportait de toute évidence une lacune dans son processus de décentralisation. Car les fonds de ses utilisateurs étaient sous la responsabilité de la structure Venly et gérés dans des portefeuilles de type « custodial » (dépositaires). Et c’est le drame…

« 148 portefeuilles contenant des PYR ont été compromis. Plus de 4,5 millions de PYR ont été volés. Alors que nous remplacerons les PYR dérobés, notre première préoccupation consiste à comprendre ce qui s’est passé. Aucun mot ne peut faire grand-chose en ce moment, nous le savons. Nous vous tiendrons informés.« 

Vulcan Forged

Le montant de cette nouvelle attaque est à peine croyable. Mais les failles de sécurité impliquées le sont encore plus. Car l’intégralité des fonds dérobés était sous gestion déléguée. C’est-à-dire déposés sur un portefeuille natif de ce VulcanVerse, afin d’en simplifier l’utilisation au sein de son écosystème. Et cela avec comme « garantie » une structure Venly censée jouer le rôle de protecteur. Mais tout cela n’a visiblement pas empêché la fuite de 96 clés privées. Avec comme conséquence immédiate la vidange de l’intégralité des cryptomonnaies détenues par les portefeuilles concernés. Soit un montant total estimé à 140 millions de dollars en PYR, mais également en ETH et autres MATIC.

Des utilisateurs remboursés en intégralité

Mais pour une fois, le projet victime de cette attaque n’a pas tardé à réagir. Un fait remarquable en comparaison du déni bien souvent présenté dans ce genre de situation. Avec comme première réaction le remboursement aussitôt annoncé et presque immédiatement réalisé de la quasi totalité des fonds en PYR dérobés. Ces derniers issus de la trésorerie du projet Vulcan Forged. Et accompagnés de la mise en place d’une nouvelle version de son portefeuille My Forge disponible dans deux jours. Avec comme objectif de mettre en place un système 100% décentralisé le plus rapidement possible.

« Tous les portefeuilles My Forge sont sécurisés. Seuls quelques-uns attendent encore leurs versements en PYR. Date de livraison pour le nouveau système de portefeuille : 2 jours. Nous procéderons à un rachat et à un burn une fois les choses réglées. Nous en sortons plus forts et plus sûrs. Une leçon précieuse.« 

Vulcan Forged

Un vol dont le butin représente tout de même 9% de la quantité totale de cryptomonnaies PYR prévue à terme, et 23,7% de celle actuellement en circulation. Avec un attaquant déjà disparu dans les limbes numériques, malgré certaines déclarations de Vulcan Forged laissant entendre que son identité a été découverte. Car ce dernier aurait transféré des fonds vers le compte d’un exchange centralisé pour lequel il a réalisé une identification de type KYC. Une conclusion ironique qui ferait de cette attaque de portefeuilles centralisés, l’outil au service de l’arrestation de son attaquant du fait de son utilisation d’un exchange lui aussi centralisé…