Un grand investisseur a perdu 27 millions de dollars en raison d'une faille de sécurité : Quels actifs ont été volés ?

Selon un rapport de PeckShield à la fin décembre dernier, un compte Ethereum de grande envergure a été entièrement dérobé, avec une valeur totale d’environ 27,3 millions de dollars après une fuite d’informations sensibles. Cet incident est particulièrement grave car il ne s’agit pas seulement d’une perte financière, mais aussi d’une connexion qui a été établie à cause d’un processus de blanchiment d’argent organisé par l’attaquant.

L’attaquant a transféré environ 12,6 millions de dollars (soit 4 100 ETH au prix du moment) via Tornado Cash pour dissimuler l’origine des fonds, tout en conservant environ 2 millions de dollars sous forme de tokens de liquidité. D’après les données d’Etherscan publiées par PeckShield, l’adresse « 0x1fCf1 » envoie continuellement des tranches de 100 ETH vers Tornado Cash selon un plan organisé, ce qui prouve qu’il ne s’agit pas d’une action impulsive, mais d’un processus de blanchiment d’argent soigneusement préparé.

Les actifs de grande valeur ont été les plus volés

Les données du portefeuille sur Etherscan montrent que cette adresse détient 100,3184 ETH (valeur à l’époque) ainsi qu’un solde d’environ 1,37 million de dollars en 201 autres tokens différents. Parmi les actifs de grande valeur, on trouve : 303,44 WETH d’une valeur d’environ 860 973 dollars, 2 216,36 OKB pour environ 234 802 dollars, 4 928,74 LEO d’une valeur de 36 374 dollars, et 151 990,97 FET apportant 30 870 dollars supplémentaires.

Fait notable, l’attaquant contrôle également l’intégralité de l’accès au système multisig de la victime, un détail crucial car il ouvre la porte à des risques potentiels supplémentaires.

Risques potentiels et dangers de liquidation

Bien que l’on ait l’impression que la perte a été identifiée, le vrai danger reste à venir. Selon l’interface Aave conservée dans le rapport, le multisig de la victime maintient encore une position de prêt sur marge : environ 25 millions de dollars en Ethereum ont été fournis en garantie pour emprunter environ 12,3 millions de DAI, avec un facteur de santé du compte (health factor) d’environ 1,68.

Que signifie ce chiffre ? Cela indique que le portefeuille est toujours actif, mais dans un état « dangereux » — si le prix de l’ETH chute suffisamment, ce facteur tombera en dessous de 1, ce qui activera automatiquement le processus de liquidation par le système Aave. À ce moment-là, l’attaquant n’a pas besoin de « vendre à la hâte » toutes ses possessions pour provoquer une vente massive — le système le fera automatiquement, et les actifs en garantie seront vendus à un prix défavorable.

C’est pourquoi cet incident mérite toute notre attention : il ne s’agit pas seulement de la somme perdue, mais aussi des risques persistants que l’attaquant, qui contrôle encore le système, puisse déclencher des processus de liquidation encore plus désastreux.