Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 145Compromission de clé privée

Effondrement de Multichain

125 M$ drainés du pont Multichain un mois après l'arrestation du PDG Zhaojun ; l'équipe avait perdu l'accès MPC et les preuves pointaient un coup interne.

Date
Victime
Multichain
Chaîne(s)
EthereumFantomBNB Chain
Statut
Fonds dérobés

Le 6 juillet 2023, le protocole de pont cross-chain Multichain (anciennement connu sous le nom d'Anyswap) a connu environ 125 millions de dollars de retraits non autorisés sur ses contrats de pont Fantom, Moonriver, Dogecoin et autres. L'incident se situait à la frontière entre « piratage » et « rug pull » — et un tribunal de Singapour a ensuite conclu qu'il s'agissait d'un coup interne.

Ce qui s'est passé

Multichain opérait ses ponts cross-chain en utilisant le Multi-Party Computation (MPC) de partage de clés entre une petite équipe d'opérateurs. La confiance dans le pont dépendait entièrement de l'intégrité des participants au MPC et du secret de leurs parts de clé.

Le 21 mai 2023, le PDG de Multichain Zhaojun a été arrêté par la police chinoise. Dans les semaines qui ont suivi :

  • L'équipe restante a annoncé qu'elle avait perdu l'accès aux serveurs MPC — que Zhaojun opérait apparemment personnellement — et ne pouvait donc pas autoriser les transactions de pont de routine.
  • La sœur de Zhaojun a transféré les fonds restants sur la plateforme vers deux adresses qu'elle contrôlait, prétendant « préservation d'actifs ».
  • Elle a ensuite été également placée en garde à vue par la police chinoise, coupant le dernier contact de l'équipe avec elle.
  • Le 6 juillet, 125 M$ de retraits non autorisés ont commencé à s'écouler des contrats de pont.

Une décision d'un tribunal de Singapour en 2024 a soutenu l'opinion selon laquelle les clés MPC avaient été contrôlées par Zhaojun seul et avaient été utilisées (par lui ou quelqu'un agissant en son nom) pour vider le pont — et non volées par un attaquant externe.

Conséquences

  • Multichain a annoncé avoir cessé ses opérations dans la semaine suivant les retraits non autorisés.
  • Les protocoles affectés — Curve, Sushi, des dizaines d'émetteurs de jetons avec des actifs enveloppés sur les ponts Multichain — ont absorbé les pertes ou migré les représentations enveloppées vers d'autres fournisseurs de ponts.
  • Aucune récupération ; aucune résolution juridique publique du statut sous-jacent de Zhaojun.

Pourquoi c'est important

Multichain est l'étude de cas du risque de clé d'opérateur dans les ponts : un pont qui dépend d'un seul individu pour opérer la cérémonie MPC a le même modèle de sécurité que la vie et la liberté de cet individu. L'incident a accéléré le mouvement plus large de l'industrie loin des ponts MPC exploités par équipe vers les comités d'attestation publics avec slashing explicite (LayerZero, Across, CCIP) et les ponts à exécution canonique qui ne reposent pas du tout sur des signataires.

Sources & preuves on-chain

  1. [01]blockworks.cohttps://blockworks.co/news/multichain-anyswap-exploit
  2. [02]chainalysis.comhttps://www.chainalysis.com/blog/multichain-exploit-july-2023/
  3. [03]dlnews.comhttps://www.dlnews.com/articles/defi/singapore-court-fuels-view-multichain-hack-was-inside-job/

Dépôts liés