Plus gros hack DeFi de l'histoire à l'époque. L'attaquant 'Mr. White Hat' rend les fonds, est embauché comme consultant sécurité par Poly Network. Wholesome ending rare en crypto.
Même thème
Le token OM s'effondre de 6$ à 0,50$ en moins d'une heure un dimanche soir. Soupçons de liquidation forcée d'insiders. ~5,5B$ de market cap évaporés.
Whale manipule le price feed de JELLY, force la HLP vault à prendre une position 230M$. Hyperliquid delist en urgence pour éviter une perte plus large. Débat sur la décentralisation des perp DEX.
Le plus gros hack crypto de l'histoire. Le multisig de Bybit est compromis pendant un transfert routinier. ~401 000 ETH volés. Ben Zhou rebuild en 72h grâce aux loans d'urgence des autres exchanges.
611 millions de dollars partis en fumée en quelques minutes. Puis rendus. Puis le hacker embauché.
Le 10 août 2021, Poly Network, un protocole qui permet de déplacer des actifs entre blockchains, se fait vider de 611 millions USD. L'attaquant exploite une faille dans le système de validation des signatures des smart contracts, transfère les fonds sur trois chaînes, BSC, Ethereum et Polygon, et disparaît dans la nature. C'est le plus gros hack DeFi jamais enregistré à ce moment-là. La communauté retient son souffle.
Mais quelque chose d'étrange se passe. Dès le lendemain, l'attaquant commence à renvoyer les fonds. Il laisse des messages encodés dans les transactions, explique ses motivations, se présente comme un chercheur en sécurité qui voulait «exposer la faille avant que quelqu'un de malveillant ne la trouve». Entre le 10 et le 13 août, plus de 99% des 611 millions USD retournent dans les wallets de Poly Network. Pas de rançon. Pas de négociation musclée.
Poly Network lui donne un surnom : «Mr. White Hat». Et lui offre un poste de consultant en sécurité. L'équipe publie sur Medium le 13 août : «We are grateful to the whitehat hacker for returning the funds and helping us improve our security.» CZ, le patron de Binance, commente sobrement sur Twitter : «This is one of the rare happy endings in crypto hacks."
Poly Network va même plus loin en proposant une bug bounty de 500 000 USD à l'attaquant. Il décline, mais accepte le rôle de consultant.
L'incident met en lumière un angle mort massif de la DeFi : les bridges cross-chain. Ces protocoles qui relient les blockchains entre elles brassent des milliards mais restent souvent sous-audités. En 2021, les hacks DeFi totalisent déjà plus d'un milliard USD de pertes. Poly Network accélère la prise de conscience.
Aujourd'hui, avec le recul, cet épisode ressemble presque à une anomalie bienveillante dans un secteur qui encaissera bien pire : Ronin Network se fera vider de 625 millions USD en mars 2022, sans happy ending cette fois. Mr. White Hat reste une figure à part, celle du hacker qui pouvait tout garder et a choisi de rendre.
