Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 068Compromission de clé privée

Brèche de custody wallet Vulcan Forged

148 wallets Vulcan Forged ont perdu 4,5M PYR (140 M$) après que les attaquants ont compromis Venly détenant leurs clés privées. Remboursé via le trésor.

Date
Victime
Vulcan Forged
Chaîne(s)
EthereumPolygon
Statut
Récupéré

Le 13 décembre 2021, la plateforme NFT play-to-earn Vulcan Forged a subi une brèche de custody affectant 148 wallets utilisateurs gérés par son fournisseur de wallet embarqué Venly. Les attaquants ont extrait les clés privées pour 96 de ces wallets et drainé environ 4,5M PYR (~140 M$), plus de plus petits montants d'ETH et MATIC.

Ce qui s'est passé

Vulcan Forged utilisait Venly (anciennement Arkane Network) comme service de wallet custodial embarqué — Venly détenait les clés au nom des utilisateurs Vulcan Forged pour qu'ils puissent interagir avec la plateforme sans gérer les seeds directement.

L'attaquant a compromis le serveur Vulcan Forged qui détenait les credentials d'authentification Venly. Utilisant ces credentials, ils ont usurpé Vulcan comme client institutionnel de Venly et demandé les clés privées pour des wallets utilisateurs individuels — les recevant via le flux d'export de clé légitime de Venly.

Avec les clés en main, l'attaquant a drainé les 96 plus grands wallets utilisateurs par avoirs, prenant près de 9 % de l'offre totale de PYR ainsi que de l'ETH et du MATIC.

Conséquences

  • Vulcan Forged a annoncé un plan de remboursement complet en 24 heures : les wallets affectés ont reçu des jetons PYR et LAVA depuis le trésor du projet, restaurant les soldes originaux des utilisateurs.
  • L'adresse de l'attaquant a été mise sur liste noire sur les grands exchanges en quelques jours.
  • Tous les remboursements majeurs ont été complétés en 48 heures suivant l'incident.

Pourquoi c'est important

Vulcan Forged est l'un des exemples les plus clairs du problème de chaîne de confiance custody embarquée : quand un projet utilise un custodian externe pour détenir les clés utilisateurs, la sécurité de l'infrastructure du projet lui-même détermine si ces clés restent en sécurité. Le custodian (Venly) n'a pas été compromis — les credentials d'authentification de Vulcan Forged l'ont été — mais le résultat côté utilisateur était identique à une compromission de custodian.

Les produits modernes de wallet embarqué (wallets MPC, wallets à récupération sociale comme ceux utilisés par Coinbase Wallet, Privy, etc.) sont explicitement architecturés autour de ce risque : même un attaquant qui usurpe pleinement le projet ne peut récupérer une seule clé privée complète.

Sources & preuves on-chain

  1. [01]coindesk.comhttps://www.coindesk.com/business/2021/12/14/gaming-platform-vulcan-forged-refunds-users-after-140m-hack
  2. [02]cryptobriefing.comhttps://cryptobriefing.com/nft-marketplace-vulcan-forged-hacked-for-140m/
  3. [03]forkast.newshttps://forkast.news/headlines/vulcan-forged-replaces-token-stolen-hack/

Dépôts liés