Par Haas Avocats
L’arrestation d’un cybercriminel aux Etats-Unis a défrayé la chronique en juillet 2023 en mettant en lumière les dangers qui gravitent autour des cryptomonnaies et notamment de leur sécurisation
Shakeeb Ahmed est un ancien ingénieur d’Amazon qui a su mettre ses connaissances de la blockchain au profit d’activités peu recommandables. Oui, il a fait le choix de pirater deux protocoles permettant d’échanger des cryptomonnaies[1] via la blockchain sur Nirvana Finance.
Cette cyberattaque semble avoir été rendue possible en raison d’une faille de sécurité affectant les « smart contracts » (contrats intelligents) encadrant les échanges de cryptomonnaies sur la blockchain.
Concrètement, le cyberattaquant a contracté un prêt de 10 millions de dollars sur une plateforme de blockchain publique (à savoir Solend), qu’il a réinvesti massivement dans le token ANA en utilisant une faille lui permettant d’acquérir ce token à un prix bien en deçà de sa valeur.
Par la suite il a échangé ces tokens contre 3.5 millions de dollars en USDT (le stablecoin connu sous l’appellation Tether), soit la totalité des fonds de ce protocole. Une fois ces actifs dérobés, la valeur totale verrouillée du protocole a chuté de 3,5 millions USD à 0,1 USD.
Ensuite les gains obtenus de la cyberattaque ont été blanchis en grande partie via du Moreno (une cryptomonnaie anonyme) et dans une myriade de mixeurs de cryptomonnaies.
En sus de cette première affaire, Shakeeb Ahmed semble également lié de très près au hack de Crema Finance en utilisant le même procédé.
La justice se réservant toujours le dernier mot, Shakeeb Ahmed a finalement été arrêté en juillet 2023 et a plaidé coupable des infractions qui lui sont reprochées. Mais surtout, il a dû restituer les fonds dérobés s’élevant, tout de même, à une valeur de 12,3 millions de dollars.
Au surplus, le cyber délinquant a accepté de verser aux victimes la somme de 5 millions de dollars supplémentaires en guise de réparation. A date, Shakeeb Ahmed risque une peine maximale de cinq années d’emprisonnement.
Cette affaire qui s’inscrit dans le sillage des attaques cybers ayant ciblé Cbridge ou encore Curve Finance nous rappelle qu’aucun dispositif n’est à l’abri d’une cyberattaque.
Pourtant, les mesures de sécurité techniques et organisationnelles[2] sont souvent négligées dans la compliance des organismes. Il apparaît donc nécessaire au regard du contexte de cyberattaque actuel, de renforcer ces mesures en les rendant au moins conformes à l’état de l’art.
En outre, les cyberattaques étant de plus en plus sophistiquées, il appartient notamment aux organismes de diagnostiquer régulièrement la robustesse de leur dispositif de sécurité. A méditer…
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Ex : bitcoin, ethereum, dogecoin, etc
[2] Article 32 du RGPD