Les pirates ont ciblé les portefeuilles chauds de MetaWin sur les blockchains Ethereum et Solana, profitant de ce que le PDG Richard « Skel » Skelhorn a décrit comme un « système de retrait sans friction ».
La plateforme de crypto-casino MetaWin a été victime d'un piratage à grande échelle le 10 novembre, des attaquants exploitant une vulnérabilité du « système de retrait sans friction » de la plateforme pour vider ses portefeuilles chauds sur les blockchains Ethereum et Solana. Cet incident, rapidement détecté par l'équipe de la plateforme, les a incités à suspendre tous les retraits afin de minimiser les pertes supplémentaires.
Dans une déclaration suite au piratage, le PDG de MetaWin, Richard « Skel » Skelhorn, a rassuré les utilisateurs sur le fait que les fonds volés étaient « complétés » et que la plateforme travaillait dur pour restaurer les soldes des comptes. Selon la dernière mise à jour, 95 % des utilisateurs ont vu leurs capacités de retrait restaurées, minimisant ainsi les interruptions de service pour la plupart des joueurs. Cependant, la réputation de la plateforme en a pris un coup, car l'exploit met en évidence les défis de sécurité persistants dans les espaces DeFi et crypto-casino.
L'enquêteur Blockchain ZachXBT, connu pour suivre les vols de crypto, a collaboré avec Skelhorn pour retracer le chemin des fonds volés. Son enquête a révélé que les fonds avaient été transférés à la fois à Kucoin et à un service imbriqué sur HitBTC, une tentative sophistiquée de brouiller la piste. Grâce à son analyse, ZachXBT a identifié plus de 115 adresses associées à l'attaquant, suggérant une opération organisée et peut-être même plusieurs individus impliqués dans l'exécution de l'exploit.
Bien que l'identité précise et les motivations du pirate informatique restent inconnues, MetaWin a impliqué les forces de l'ordre et d'autres entités d'enquête pour poursuivre l'affaire. La décision de la plateforme d'impliquer les autorités indique un engagement à la fois à récupérer les avoirs volés et à dissuader de futures attaques. Cette décision est particulièrement cruciale compte tenu de la récente vague de piratages cryptographiques, où les plates-formes ciblées par des vulnérabilités de portefeuille chaud et des tactiques de phishing avancées ont eu du mal à obtenir une coopération significative avec les forces de l'ordre.
Dans un message à la communauté publié sur Discord, Skelhorn a adopté un ton pragmatique mais provocant. "Nous n'allons pas nous attarder là-dessus. C'est entre les mains du gouvernement fédéral maintenant, et nous allons faire quelques ajustements internes pour garder les joueurs heureux mais les mauvais acteurs à distance", a-t-il déclaré sur Discord. Plus tard, il a ajouté une note personnelle, faisant allusion à son propre engagement financier dans le processus de reconstruction : "Je viens de vider ma tirelire, nous ne nous y attardons pas. Nous continuons à construire."
Les hacks à la hausse
Cette violation n'est que la dernière d'une série de piratages cryptographiques ciblant les portefeuilles chauds et les protocoles d'échange. À la mi-octobre, Radiant Capital a perdu 58 millions de dollars dans un exploit sophistiqué impliquant le vol de clés privées. Peu de temps après, le 30 octobre, une attaque de phishing a compromis la bibliothèque d'animations largement utilisée Lottie Player, impactant des plateformes comme 1inch et TEN Finance. Plus récemment, l'échange M2 a subi une violation de 13 millions de dollars dans des circonstances similaires à celles de MetaWin, avec ses portefeuilles chauds comme point d'échec.
Le hack MetaWin rappelle brutalement les risques inhérents aux systèmes de portefeuilles chauds dans les applications DeFi et crypto, en particulier celles impliquant des retraits en temps réel. Alors que les plateformes continuent d'équilibrer convivialité et sécurité, les vulnérabilités comme celle de MetaWin resteront probablement des cibles attrayantes pour les cybercriminels bien organisés. Avec un nombre croissant d'exploits frappant des plates-formes de premier plan, les leaders du secteur pourraient être confrontés à une pression croissante pour donner la priorité à la sécurité cryptographique et à une évaluation rigoureuse des risques, garantissant ainsi que les expériences utilisateur « sans friction » ne se font pas au détriment de la sécurité des actifs.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!