Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 133Compromission de clé privée

Exploit du hot wallet Bitrue

Une seule compromission de clé de signature a balayé 23 M$ en ETH, QNT, GALA, SHIB, HOT et MATIC du hot wallet de Bitrue, sous les 5 % des soldes.

Date
Victime
Bitrue
Chaîne(s)
Ethereum
Statut
Fonds dérobés

Le 14 avril 2023, l'échange de cryptomonnaies Bitrue a divulgué une compromission de hot wallet qui a drainé environ 23 millions de dollars dans un balayage multi-tokens coordonné. Le wallet détenait moins de 5 % des actifs clients totaux de Bitrue — mais la vitesse du drainage a fait que la perte s'est produite avant qu'une pause de retraits ne puisse prendre effet.

Ce qui s'est passé

L'attaquant a obtenu l'autorité de signature par clé privée sur le hot wallet affecté — vecteur exact jamais publiquement divulgué — et l'a utilisée pour drainer un panier délibérément diversifié de tokens ERC-20 de longue traîne en plus des actifs de réserve standard. L'analyse on-chain de la firme de sécurité PeckShield a identifié les sorties majeures comme :

  • 173 000 QNT (Quant Network) — ~2,5 M$
  • 22,55 milliards SHIB (Shiba Inu) — ~300 K$
  • 46,4 millions GALA — ~2,5 M$
  • 310 000 MATIC — ~300 K$
  • Le reste en ETH, HOT et autres tokens.

L'attaquant a rapidement échangé les tokens de longue traîne contre de l'ETH (~8 540 ETH au total) sur des agrégateurs DEX, spécifiquement pour échapper aux gels coordonnés par les échanges qui auraient été simples à coordonner sur les tokens à plus petite capitalisation mais étaient moins viables sur l'ETH lui-même.

Conséquences

  • Bitrue a mis en pause tous les retraits et restauré les services le 18 avril après rotation des clés de hot wallet.
  • L'échange a annoncé une indemnisation complète des utilisateurs affectés depuis les réserves d'entreprise.
  • Les fonds volés ont été blanchis via Tornado Cash ; aucune récupération publique.

Pourquoi c'est important

Bitrue est l'une des compromissions d'échange de moyen rang de 2023 qui ont renforcé le schéma qui a finalement culminé à bien plus grande échelle chez Phemex, BingX et DMM Bitcoin : les hot wallets ne détenant qu'un petit pourcentage des réserves totales peuvent quand même être drainés pour 20-100 M$+ parce que le pourcentage est par conception — c'est combien de liquidité l'échange doit garder sous la main pour servir les retraits. La réponse défensive est la ségrégation de clés par chaîne avec des limites de vélocité strictes par wallet, mais en pratique les limites sont souvent calibrées contre les schémas de retraits légitimes plutôt que contre les sorties d'attaquant dans le pire cas.

Sources & preuves on-chain

  1. [01]crypto.newshttps://crypto.news/bitrue-crypto-exchange-suffers-23m-hot-wallet-exploit/
  2. [02]coindesk.comhttps://www.coindesk.com/business/2023/04/14/crypto-exchange-bitrue-drained-of-23m-in-hack-of-ether-shiba-inu-other-tokens
  3. [03]cyvers.aihttps://cyvers.ai/blog/bitrue-exchange-alerted-by-cyvers-suffers-23-million-crypto-hack-hot-wallet-compromised

Dépôts liés