Nexus Mutual - Hugh se livre
Vous n’êtes pas autant en sécurité que vous voudriez bien le croire.
Les portefeuilles physiques et les clés privées ne sont d’aucune utilité si votre machine est compromise.
Il est acquis que les singes paient des taxes et que les traders perdent des fonds, mais il n’est pas juste que des utilisateurs prudents perdent leur argent.
Hugh Karp de Nexus Mutual a été piraté et a perdu une somme de 8 millions de dollars.
Cette histoire diffère de celles que nous couvrons normalement, et nous voulions la rapporter comme il se doit. La cupidité et l’impatience ne méritent pas notre respect, mais quand un individu est pris pour cible sans que celui n’y soit pour rien, il mérite que nous lui témoignions de la compassion.
Cette attaque aurait pu toucher n’importe lequel d’entre nous.
Nous avons parlé à Hugh une semaine après l'attaque. Le résumé suivant est tiré de sa déclaration officielle.
Le lundi 14 décembre à 9h40 UTC, j'ai été amené à approuver une transaction qui a envoyé 370 000 NXM à un hacker, alors que je pensais réclamer des récompenses de mining. Le pirate informatique a par la suite liquidé la majorité des NXM en ETH/BTC et les a dispersés sur de nombreuses adresses et plateformes d’échanges différentes.
rekt :
Salut Hugh,
Merci de bien vouloir échanger avec nous. Avant toutes choses nous voudrions te dire que nous sommes vraiment désolés pour tes mésaventures.
Nous ne voulions pas couvrir cette histoire sans t’avoir parlé au préalable, car il y a évidemment beaucoup plus d'éléments personnels dans cette attaque que dans celles que nous traitons habituellement.
Cela fait un peu plus d'une semaine que le piratage a eu lieu. Mis à part les pertes financières, comment l'incident t'a-t-il affecté ?
Hugh :
Cela a été assez difficile pour être honnête : il y a eu des montagnes russes émotionnelles et peu de sommeil, surtout les premiers jours, mais les choses rentrent peu à peu dans l’ordre en ce moment.
Je pense que les trois quatre premières heures ont été les pires, et je pense que beaucoup qui ont vécu ça pourront le confirmer. Ça vous prend aux tripes, tout le corps se met à trembler et vous êtes traversé par une sensation de malaise et de faiblesse.
L'équipe Nexus et d'autres membres de la communauté m’ont vraiment aidé, Rox (notre CTO) et Anatol (notre expert en sécurité) ont pris les choses en main et m'ont guidé sur la suite des événements. Puis c’est la communauté dans son ensemble qui a commencé à s'impliquer dans la recherche de fonds entre autres choses.
rekt :
Je ne suis pas surpris qu'une perte de 8 millions de dollars entraîne des effets secondaires au plan physique - cela a dû être horrible.
Comment le gères-tu sur le plan psychologique ? Cela a-t-il changé ta vision de l'écosystème?
Hugh :
Je pense que je m’en sors bien là-dessus, j’essaye de garder une vision sur le long-terme, et de me rappeler qu’avant l’été 2020 de la DeFi NXM ne valait que 3 $. J’ai certes perdu énormément d’argent, mais on parle d'argent que je ne possédais pas il y a encore 4-5 mois. Une start-up est de toute façon semblable à des montagnes russes, il est donc normal de chuter parfois, mais je suis certain que les choses vont se remettre dans le bon sens.
rekt :
Ton résumé écrit des événements est fascinant.
Dans une des parties tu écris :
"There are connections with other victims of what we believe are similar attacks."
Peux-tu détailler ces connexions ?
Hugh :
Je ne peux pas fournir trop de détails pour le moment, car des enquêtes sont toujours en cours, mais nous connaissons au moins 2 autres membres de Nexus Mutual qui semblent avoir été touchés par un incident similaire.
Et il y a forcément des dommages collatéraux. À travers d'autres contacts, plusieurs autres victimes ont été touchées. Nous avons trouvé les deux comptes pendant que nous traçions des mouvements de fonds. J’imagine que certains pensent qu'il s'agissait d'une attaque très ciblée, et que les utilisateurs lambda de la Defi n'ont pas à s’en préoccuper. Je pense que cela est vrai jusqu’à un certain point, mais je voudrais souligner le fait que n’avez pas besoin d’être un gros poisson pour devenir une cible. D’une manière générale, je mets en garde contre le réflexe du “ça n’arrive qu’aux autres”.
rekt :
Tu utilisais un portefeuille physique, tes clés privées ont été mises en danger. Que peuvent faire les utilisateurs pour éviter que cela ne leur arrive ?
Hugh :
Je pense à cela depuis l'attaque et je ne suis honnêtement pas sûr de connaître la meilleure solution. Le portefeuille physique affichera suffisamment d'informations pour que vous puissiez vérifier exactement ce que vous approuvez, mais vous devez être assez compétent techniquement pour comprendre ces informations. Les transferts simples pour des tokens populaires ne posent pas de problème, mais n’importe quelle interaction avec un smart contract doit sûrement être impossible à comprendre pour les utilisateurs lambda. Personnellement, je vais dorénavant entièrement vérifier les informations des transactions par rapport à des sources externes, mais je ne pense pas que cela soit une solution viable pour tout le monde.
rekt :
Dans ton résumé, tu écris que "Mon ordinateur a été compromis et Metamask a été modifié à partir du disque".
As-tu des idées sur la manière dont ton ordinateur a été compromis ?
Hugh :
Nous n'avons pas encore une idée complète, nous sommes toujours en train de réaliser des diagnostics complets de mon PC. Nous pensons que le malware a été diffusé par coinbene dot team, mais il est possible qu'il vienne d'ailleurs.
rekt :
Certains messages sur Twitter suggèrent que tu as identifié l’assaillant, peux-tu nous dire comment tu interagis avec eux ?
Hugh :
Notre CTO, Roxana, a eu une brève conversation Telegram avec l'un des hackers, mais nous avons également pu les mettre en relation avec d'autres victimes du piratage en traçant les transactions et en échangeant avec la police. Je ne peux pas vraiment en dire plus sur ce dossier pour le moment, à part dire que nous pensons qu'il s'agit d'un groupe de hackers extrêmement sophistiqué.
rekt :
As-tu parlé du piratage aux forces de l'ordre ?
Hugh:
Oui, nous avons contacté la police britannique, qui se trouve en coordination avec d'autres juridictions. D'autres affaires ont été reliées à celle-ci pour former une enquête globale plus large.
rekt:
La police te semblait-elle assez expérimentée en ce qui concerne le traitement de ce genre d'affaires ?
Nous couvrons beaucoup d’affaires de hask et d'exploit impliquant d'énormes sommes d'argent, mais il semble qu'elles soient rarement portées à l'attention des forces de l'ordre - pourquoi selon toi ?
Hugh:
Pas vraiment, ils semblent principalement formés pour des cas comme des arnaques à la carte bancaires et d'autres petites affaires de ce type. L'autre grand problème est la dimension internationale, qui augmente les délais entre les échanges et nécessite de multiplier les efforts de coordination.
rekt:
Les protocoles d'assurance offrent aux hackers la possibilité de multiplier leurs profits en souscrivant une assurance avant de pirater le protocole pour lequel ils sont couverts. As-tu déjà eu des preuves de tels procédés ? Cela devrait-il être rendu possible ?
Hugh:
Nous n'avons pas encore vu cela de nos propres yeux, mais nul doute que ça arrivera. Chez Nexus Mutual, nous avons introduit une preuve de perte, vous devez donc prouver que vous contrôliez un compte qui a subi une perte. Cela limitera bien des dégâts.
Les produits d'assurance peuvent fonctionner sans ce critère, mais ils seront beaucoup plus coûteux sur le long terme, puisque des réclamations supplémentaires devront être payées. Pour les produits durables à long terme, il vaut mieux ajuster les intérêts autant que possible.
rekt:
La communauté a mis en place un Gitcoin grant pour compenser une partie de tes pertes - tu as déclaré que ces fonds seraient utilisés pour développer des outils relatifs à la sécurité des portefeuilles - peux-tu nous donner quelques détails?
Hugh:
C’est exact. Je n’ai pas encore réglé tous les détails, mais le but est d'encourager des solutions ou des progrès sur des éléments techniques, pour permettre d’avoir des portefeuilles personnels hautement sécurisés qui sont également excellents d'un point de vue de l’expérience utilisateur. Je sais que beaucoup d'équipes travaillent là-dessus, mais nous avons encore du chemin à parcourir, et je pense que c’est un enjeu essentiel pour ce vaste espace crypto que d’avoir des offres de self-custody ultra sécurisée. Mon profil fait que mon cas est relativement important, mais il ne s’agit pas que de moi : j’espère que ça sera une belle occasion d'accélérer des processus.
rekt:
Si nos lecteurs veulent aider ou en savoir plus sur ce projet, où peuvent-ils se rendre ?
Hugh:
Si vous voulez contribuer au grant, voici le lien.
Si vous souhaitez en savoir plus sur Nexus Mutual, vous pouvez nous trouver via @NexusMutual sur Twitter ou rejoindre notre Discord.
rekt:
Merci pour l’échange.
Hugh:
Aucun problème, ça m’a fait plaisir de pouvoir en parler, et merci d’avoir été plus tendre qu’à l’accoutumée !
REKT sert de plateforme publique pour des auteurs anonymes, nous déclinons toute responsabilité quant aux opinions ou contenus hébergés sur REKT.
faites un don (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
avertissement:
REKT n'est responsable en aucune manière du contenu publié sur notre site Web ou en lien avec nos Services, qu'il soit publié ou occasionné par l'Auteur Anon de notre site Web, ou par REKT. Bien que nous fournissions des règles pour la conduite et les publications de l'Auteur Anon, nous ne contrôlons pas et ne sommes pas responsables de ce que l'Auteur Anon publie, transmet ou partage sur notre site Web ou nos Services, et ne sommes pas responsables de tout contenu offensant, inapproprié, obscène, illégal ou autrement répréhensible que vous pourriez rencontrer sur notre site Web ou nos Services. REKT ne saurait être tenu responsable de la conduite, en ligne ou hors ligne, de tout utilisateur de notre site Web ou de nos services.
vous pourriez aussi aimer...
Fortress Protocol - REKT
La forteresse est un champ de ruines après que 3M$ aient été volés suite à une manipulation d'oracle et un acte de gouvernance malveillant. L'interface utilisateur est mise en pause, mais les contrats restent actifs. L'écosystème de Fortress renflouera-t-il les utilisateurs pour les fonds perdus ?
MM Finance - REKT
Mad Meerkat Finance (à ne pas confondre avec Meerkat Finance normal) a perdu 2 million de dollars à cause d'un exploit de DNS. Attaques front-end, attaques back-end, quand cela cessera-t-il donc ?
Fei Rari - REKT
Fei Rari - rekt. Sept des pools Fuse de Rari ont été drainés pour un total d'environ 80 millions de dollars. Ce n'est pas la première fois que Rari se fait rekt - espérons que les hackers ne réaliseront pas le coup du chapeau.