Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 166Compromission de clé privée

Vidage des hot wallets de Poloniex

Plus de 114 M$ balayés des hot wallets Ethereum et Tron de Poloniex après extraction des clés privées ; Justin Sun a promis le remboursement complet.

Date
Victime
Poloniex
Chaîne(s)
EthereumTronBitcoin
Statut
Fonds dérobés

Le 10 novembre 2023, les entreprises de sécurité blockchain PeckShield et Cyvers ont lancé l'alarme sur un vidage coordonné des hot wallets de Poloniex. Les pertes totales se sont stabilisées à 114 millions de dollars sur Ethereum plus environ 42 millions de dollars sur Tron — portant la perte cumulée à environ 156 millions de dollars sur deux chaînes affiliées à l'opération de Justin Sun.

Ce qui s'est passé

L'adresse « pirate de Poloniex » côté Ethereum a exécuté 357 transactions en succession rapide, balayant plus de 100 M$ depuis les hot wallets contrôlés par l'échange. En parallèle, une adresse côté Tron a déplacé environ 42 M$ vers un ensemble séparé de destinations.

Justin Sun et Poloniex ont publiquement caractérisé la brèche comme une compromission de clé privée — les clés contrôlant les hot wallets avaient été stockées au sein des systèmes internes de Poloniex et ont été extraites par l'attaquant, qui a ensuite escaladé les privilèges et déplacé les fonds dans une seule fenêtre coordonnée.

Conséquences

  • Poloniex a mis en pause les retraits en quelques heures ; les dépôts ont repris des jours plus tard, les retraits des semaines plus tard, après rotation des clés et audit.
  • Justin Sun s'est publiquement engagé à un remboursement à 100% des utilisateurs depuis les réserves corporatives et a offert une prime white-hat de 5% à l'attaquant pour la restitution des fonds, avec un délai de 7 jours avant de saisir les forces de l'ordre. Le délai a expiré.
  • La même infrastructure d'opérateur a été impliquée deux semaines plus tard dans le vidage de HECO Bridge / HTX le 22 novembre — une compromission liée affectant d'autres plateformes affiliées à Justin Sun.

Pourquoi c'est important

Poloniex est la moitié d'une paire d'incidents étroitement liés (l'autre moitié étant HECO/HTX deux semaines plus tard) qui ont exposé l'exposition partagée à la gestion de clés à travers l'infrastructure affiliée à Justin Sun. Lorsqu'un opérateur exploite un échange, un pont et un L1, la frontière de sécurité de l'ensemble du portefeuille s'effondre à la sécurité opérationnelle du système central de gestion de clés.

La leçon — isolation HSM stricte par activité, pas d'autorité de signature partagée — a conduit la poussée moderne vers les gestionnaires de clés par service basés sur des enclaves dans le playbook de l'opérateur.

Sources & preuves on-chain

  1. [01]coindesk.comhttps://www.coindesk.com/business/2023/11/10/poloniex-hot-wallets-hacked-65m-seemingly-stolen-on-chain-data
  2. [02]decrypt.cohttps://decrypt.co/205465/justin-sun-owned-crypto-exchange-poloniex-hacked-60m
  3. [03]financemagnates.comhttps://www.financemagnates.com/cryptocurrency/justin-suns-poloniex-loses-over-100m-in-hot-wallet-hack/

Dépôts liés