Sheldon Xia, le PDG de BitMart, a déclaré que son exchange remboursera de sa poche les utilisateurs victimes d’un piratage à grande échelle samedi soir.

Xia a pris la parole sur Twitter lundi matin pour confirmer que l’incident a été causé par le vol d’une clé privée de deux portefeuilles en ligne de BitMart.

« BitMart utilisera nos propres fonds pour couvrir l’incident et indemniser les utilisateurs affectés », a écrit Xia. « Nous discutons également avec plusieurs équipes de projet pour confirmer les solutions les plus raisonnables, telles que les échanges de tokens. Aucun actif des utilisateurs ne sera lésé. »

Selon l’annonce officielle, BitMart a subi « une violation de sécurité à grande échelle », ce qui a entraîné la compromission des portefeuilles en ligne Ethereum (ETH) et Binance Smart Chain (BSC) de l’exchange.

Contrairement aux portefeuilles dits « froids », qui sont généralement des dispositifs matériels tels que des clés Ledger  conçus pour stocker des crypto-monnaies hors ligne, les portefeuilles chauds sont connectés à Internet, ce qui permet des transactions plus rapides et plus faciles. Le confort d’utilisation des hot wallets s’accompagne toutefois d’une contrepartie, car ils sont plus vulnérables aux attaques en ligne.

L’annonce de BitMart a rapporté que les pirates ont réussi à s’enfuir avec environ 150 millions de dollars de fonds volés.

Selon la société de sécurité blockchain Peckshield qui était déjà intervenu dernièrement dans l’analyse du piratage du site de BadgerDAO, la perte totale estimée est de près de 200 millions de dollars, avec environ 100 millions de dollars d’actifs émis sur la blockchain Ethereum et environ 96 millions de dollars d’actifs basés sur BSC volés.

Analyse du piratage BitMart et mode opératoire

Peckshield a remarqué la brèche samedi soir, indiquant une sortie de dizaines de millions de dollars de l’une des adresses de BitMart.

Les analystes ont ensuite déclaré que l’attaque était « assez simple » : les pirates ont échangé les tokens volés par le biais de l’agrégateur d’échange décentralisé (DEX) 1inch et ont utilisé Tornado Cash, un service de mélange (dans le jargon : un mixer) pour la blockchain Ethereum afin de masquer leur identité.

« Le hot wallet ETH et le hot wallet BSC concernés portent un petit pourcentage d’actifs sur BitMart et tous nos autres portefeuilles sont sécurisés et indemnes », a déclaré BitMart dans un communiqué.

Actuellement, la bourse basée aux îles Caïmans mène « un examen approfondi de la sécurité » et a temporairement suspendu tous les dépôts et retraits.

Xia a déclaré que l’équipe est « confiante » et que ces fonctions seront progressivement rétablies au plus tard le 7 décembre.

L’incident de BitMart est survenu moins de 72 heures après que BadgerDAO, une organisation autonome décentralisée (DAO) qui apporte le bitcoin au monde de la finance décentralisée (DeFi),  victime d’un piratage de 120 millions de dollars.