611 millions de dollars partis en fumée en quelques minutes. Puis rendus. Puis le hacker embauché.
Le 10 août 2021, Poly Network, un protocole qui permet de déplacer des actifs entre blockchains, se fait vider de 611 millions USD. L'attaquant exploite une faille dans le système de validation des signatures des smart contracts, transfère les fonds sur trois chaînes, BSC, Ethereum et Polygon, et disparaît dans la nature. C'est le plus gros hack DeFi jamais enregistré à ce moment-là. La communauté retient son souffle.
Le braquage le plus poli de l'histoire
Mais quelque chose d'étrange se passe. Dès le lendemain, l'attaquant commence à renvoyer les fonds. Il laisse des messages encodés dans les transactions, explique ses motivations, se présente comme un chercheur en sécurité qui voulait «exposer la faille avant que quelqu'un de malveillant ne la trouve». Entre le 10 et le 13 août, plus de 99% des 611 millions USD retournent dans les wallets de Poly Network. Pas de rançon. Pas de négociation musclée.
Poly Network lui donne un surnom : «Mr. White Hat». Et lui offre un poste de consultant en sécurité. L'équipe publie sur Medium le 13 août : «We are grateful to the whitehat hacker for returning the funds and helping us improve our security.» CZ, le patron de Binance, commente sobrement sur Twitter : «This is one of the rare happy endings in crypto hacks."
Poly Network va même plus loin en proposant une bug bounty de 500 000 USD à l'attaquant. Il décline, mais accepte le rôle de consultant.
Ce que ça change
L'incident met en lumière un angle mort massif de la DeFi : les bridges cross-chain. Ces protocoles qui relient les blockchains entre elles brassent des milliards mais restent souvent sous-audités. En 2021, les hacks DeFi totalisent déjà plus d'un milliard USD de pertes. Poly Network accélère la prise de conscience.
Aujourd'hui, avec le recul, cet épisode ressemble presque à une anomalie bienveillante dans un secteur qui encaissera bien pire : Ronin Network se fera vider de 625 millions USD en mars 2022, sans happy ending cette fois. Mr. White Hat reste une figure à part, celle du hacker qui pouvait tout garder et a choisi de rendre.