L’attaquant jusqu’ici inconnu qui s’est emparé de plusieurs millions d’éthers en piratant le fonds cryptographique « The DAO » à l’été 2016 et qui a provoqué de graves secousses sur la plateforme Ethereum aurait été démasqué. Une journaliste américaine affirme que le développeur et fondateur autrichien Toby H. est probablement responsable de ce piratage. L’accusé l’a nié auprès d’elle et a déclaré que les affirmations et les conclusions du rapport étaient inexactes.
Le rapport de la podcasteuse blockchain Laura Shin s’appuie principalement sur des transactions tracées qui désigneraient Toby H., ainsi que sur des anomalies dans ses communications de l’époque. Jusqu’à présent, l’Autrichien était surtout connu sur la scène cryptographique en tant que cofondateur et chef de la startup TenX, qui voulait établir une carte de crédit en crypto-monnaie. Malgré une Initial Coin Offering en 2017, qui a permis de lever 80 millions de dollars, TenX a échoué. Jusqu’à présent, H. n’a pas répondu à une demande de commentaire de la part de heise online.
Sommaire
Du piratage DAO au hard fork
En 2016, la DAO a été la première tentative de création d’une organisation dite décentralisée et autonome, qui devait s’organiser en grande partie via la technologie de la blockchain. Grâce à un financement participatif, les créateurs ont pu récolter environ 11,5 millions d’éthers, d’une valeur de près de 140 millions de dollars américains à l’époque, comme capital de départ. Mais à la mi-juin de l’année, le supergâteau est arrivé : un pirate a pu voler environ 3,6 millions d’éthers du stock de capital. Cela a été possible parce qu’une fonction de retrait mise en œuvre de manière peu sûre a pu être appelée à plusieurs reprises sans vérification du solde du compte.
Le capital volé était initialement lié par un mécanisme de sécurité de la fonction de retrait et aurait pu être transféré à l’expiration d’un délai. Avant que cela ne se produise, la communauté Ethereum a décidé d’annuler le piratage de la blockchain. Après un hard fork, une nouvelle version de la blockchain a été déclarée contraignante, dans laquelle l’argent volé se trouvait à une adresse hors de portée du voleur. Mais tout le monde dans la communauté n’a pas voulu suivre cette démarche : Lors du hard fork, la crypto-monnaie Ethereum classic s’est séparée – et c’est dans cette chaîne que le voleur a conservé son butin.
Transactions mixtes démixées
Selon Shin, la piste sur la chaîne « Classic » mène à Toby H. Selon son analyse des transactions, les Ether classic auraient d’abord été transférés dans un nouveau portefeuille, où ils seraient restés jusqu’en octobre 2016. Ensuite, le pirate aurait échangé une partie de l’argent contre des bitcoins via la plateforme Shapeshift – Shapeshift était encore utilisable sans enregistrement d’utilisateur à ce moment-là. Au total, 282 bitcoins ont ainsi été échangés.
50 de ces bitcoins auraient ensuite été transférés à l’aide d’un portefeuille Wasabi – un logiciel qui, grâce à une technique appelée Coinjoin, veille à mélanger les transactions et à les rendre ainsi impossibles à retracer. Dans ce cas, une technique d’analyse de la société Chainalysis, qui n’a pas encore été rendue publique, a permis de retracer les transactions, écrit Shin. Interrogée à ce sujet, Chainalysis n’a pas souhaité donner de détails.
Une adresse IP révélatrice ?
Les 50 bitcoins auraient été fractionnés et envoyés vers quatre cryptobourses différentes. L’argent aurait été converti en Grin, le Privacy-Coin, et transféré vers le Grin-Node grin.toby.ai, affirme Shin en se référant à une source anonyme qui dit l’avoir appris d’un initié. Selon cette source, l’adresse e-mail utilisée sur l’une des bourses se serait terminée par le domaine @toby.ai. L’adresse IP du nœud Grin aurait également hébergé plusieurs nœuds du réseau Bitcoin Lightning comme ln.toby.ai et un autre au nom de TenX.
Pour Shin, il s’agit de H., qui a utilisé « @tobyai » sous différentes formes dans presque tous ses comptes de réseaux sociaux et autres plates-formes. De même, l’adresse IP remonte probablement à Amazon Web Service (AWS) à Singapour. Toby H. vivait à Singapour à l’époque. Les dates des transactions suspectes indiquent également que quelqu’un se trouve dans ce fuseau horaire.
Posts et échanges de courriels sur la sécurité de la DAO
Shin pense avoir trouvé d’autres indices dans des posts publics, des chats et des échanges de courriels. H. s’est beaucoup intéressé au projet DAO avant le piratage : Il aurait publié plusieurs billets de blog sur la plateforme Medium concernant d’éventuelles failles, se serait exprimé en détail sur les problèmes de sécurité dans le canal Slack du projet et aurait également correspondu par courriel avec les créateurs de la DAO. En mai 2016, il a expliqué à celui qui travaillait à l’époque pour TenX qu’il n’y avait pas d’autre solution. Julian Hosp, un crypto-influenceur, a donné le conseil suivantde parier sur la chute du cours de l’Ethereum après la fin du crowdfunding de DAO. Selon Hosp, il s’est également beaucoup intéressé à la cryptomonnaie Grin. Hosp s’exprime également dans un long fil Twitter sur sa vision des événements de l’époque.
Dans l’ensemble, le faisceau d’indices avec lequel Shin veut prouver la culpabilité de H. semble tout de même un peu mince. Néanmoins, Shin semble être sûre de son fait. Il y a toutefois déjà eu des cas où de telles révélations sur la cryptographie ont échoué : En 2014, le magazine Newsweek s’est ainsi ridiculisé en faisant passer Dorian Nakamoto, un retraité vivant à l’écart du monde, pour le prétendu inventeur du bitcoin.