Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 006Compromission de clé privée

Drainage de wallets Cryptopia

Une compromission de l'infrastructure wallet a balayé ~16 M$ chez 76 000+ utilisateurs Cryptopia, tuant l'échange néo-zélandais et forçant une faillite.

Date
Victime
Cryptopia
Chaîne(s)
Ethereum
Statut
Partiellement récupéré

Le 13 janvier 2019, l'échange néo-zélandais Cryptopia a détecté des sorties non autorisées depuis ses deux hot wallets principaux — l'un détenant ETH, l'autre détenant des tokens ERC-20. Le travail forensique ultérieur d'Elementus a révélé que la perte n'était pas les 2,5 M$ que Cryptopia a initialement rapportés mais environ 16 millions de dollars sur plus de 76 000 wallets d'utilisateurs individuels.

Ce qui s'est passé

Cryptopia stockait les soldes clients en utilisant une dérivation de wallet par utilisateur — les dépôts de chaque client se trouvaient à une adresse unique contrôlée par l'infrastructure interne de gestion de clés de Cryptopia. L'attaquant a compromis cette infrastructure et obtenu l'autorité de signature sur les clés privées de plus de 76 000 adresses de dépôt utilisateur.

Le drainage était systématique. Plutôt que de vider un seul hot wallet, l'attaquant a balayé des milliers d'adresses individuelles sur une fenêtre de plusieurs jours, avec une longue traîne de tirages plus petits après le pic initial. L'analyse on-chain d'Elementus a confirmé que le total atteignait ~16 M$ en ETH et tokens ERC-20, contre l'estimation publique initiale de Cryptopia de 2,5 M$.

Conséquences

  • Cryptopia a mis en pause les opérations le 14 janvier, a brièvement rouvert, puis a déposé une protection contre la faillite en mai 2019, citant la brèche comme cause immédiate.
  • L'échange a été placé en liquidation sous Grant Thornton, qui a passé plus de cinq ans à tracer et récupérer les fonds clients à travers wallets, mixeurs et échanges.
  • En décembre 2024, Grant Thornton a annoncé avoir distribué environ NZ$400 millions (~US$225 M) en cryptomonnaie à plus de 10 000 titulaires de compte vérifiés — dépassant largement la perte originale en termes nominaux, reflétant à la fois la récupération partielle de fonds et l'appréciation du prix crypto sur six ans.

Pourquoi c'est important

Cryptopia était une perte relativement petite en dollars absolus, mais elle a cristallisé deux risques opérationnels pour l'industrie des échanges du début 2019 :

  1. La garde par adresse par utilisateur n'est pas intrinsèquement plus sûre que la garde poolée — si le système maître de gestion de clés est compromis, chaque adresse dérivée est compromise en même temps.
  2. Les récupérations en faillite dans le crypto peuvent prendre une demi-décennie, et la valeur des actifs récupérés au moment de la distribution peut n'avoir aucune ressemblance avec leur valeur au moment de la perte. Les clients bénéficient de l'appréciation de prix ; ils paient le prix en incertitude opérationnelle et en temps.

La dernière dynamique a récidivé à bien plus grande échelle chez Mt. Gox et plus tard FTX, où les délais pluriannuels ont signifié que les créanciers recevaient leurs distributions dans des cycles qui avaient peu à voir avec l'effondrement original.

Sources & preuves on-chain

  1. [01]ccn.comhttps://www.ccn.com/new-zealand-exchange-cryptopia-lost-16-million-in-hack-not-initially-reported-2-5-million-research/
  2. [02]coindesk.comhttps://www.coindesk.com/markets/2019/01/16/new-zealand-police-keeping-open-mind-on-cryptopia-hack/
  3. [03]bravenewcoin.comhttps://bravenewcoin.com/insights/cryptopia-hack-liquidators-distribute-225-million-in-crypto-to-victims

Dépôts liés