Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 162Compromission de clé privée

Compromission cloud de Mixin Network

200 M$ drainés des hot wallets de Mixin Network après compromission du fournisseur cloud hébergeant la base centralisée — un réveil sur l'infrastructure.

Date
Victime
Mixin Network
Chaîne(s)
BitcoinEthereum
Statut
Fonds dérobés

Au petit matin du 23 septembre 2023, la base de données du fournisseur de services cloud de Mixin Network a été violée. Au moment où Mixin a mis en pause ses opérations plus tard ce jour-là, les attaquants avaient drainé environ 200 millions de dollars des hot wallets du réseau — ce qui en fait le plus grand incident crypto de 2023.

Ce qui s'est passé

Mixin Network se décrivait comme un « registre décentralisé ouvert et transparent, comptabilisé et maintenu collectivement par 35 nœuds du réseau principal ». En pratique, les soldes des utilisateurs du système étaient suivis dans une base de données centralisée hébergée chez un seul fournisseur de services cloud, et les clés privées contrôlant les hot wallets étaient accessibles depuis l'infrastructure hébergée par ce fournisseur.

L'attaquant a compromis le fournisseur cloud — vecteur exact jamais divulgué publiquement — a obtenu un accès en lecture à la base de données pertinente, et de là a obtenu l'autorité de signature sur les hot wallets de Mixin à travers plusieurs chaînes. Il a ensuite vidé ces portefeuilles dans un balayage coordonné.

La répartition on-chain :

  • ~95,3 M$ en ETH (environ 71% des avoirs ETH de Mixin).
  • ~23,7 M$ en BTC (~9% des avoirs).
  • ~23,6 M$ en USDT (~93% des avoirs).

Conséquences

  • Mixin a mis en pause tous les dépôts et retraits le même jour.
  • Le fondateur Feng Xiaodong a annoncé que la plateforme absorberait jusqu'à 20 000 $ par utilisateur en pertes ; les utilisateurs affectés avec des soldes plus importants recevraient un mélange de jetons de dette et d'actions représentant leurs créances.
  • Aucun fonds n'a été publiquement récupéré.

Pourquoi c'est important

Mixin Network est l'exemple canonique d'un système commercialisé comme décentralisé dont le périmètre de sécurité était la facture cloud qu'il payait chaque mois. Le « registre décentralisé » de 35 nœuds était réel, mais il fonctionnait au-dessus d'un système de gestion de clés centralisé dont la compromission était totale et instantanée.

La leçon — que la décentralisation opérationnelle doit s'étendre aux dépendances d'infrastructure, pas seulement au consensus — a conduit la poussée moderne vers la signature basée sur des enclaves, la cryptographie à seuil entre opérateurs véritablement indépendants, et la séparation architecturale du chemin de signature du chemin d'application.

Sources & preuves on-chain

  1. [01]coindesk.comhttps://www.coindesk.com/tech/2023/09/25/mixin-network-losses-nearly-200m-in-hack
  2. [02]elliptic.cohttps://www.elliptic.co/blog/mixin-network-hacked-for-200-million
  3. [03]halborn.comhttps://www.halborn.com/blog/post/explained-the-mixin-network-hack-september-2023

Dépôts liés