C'est le piratage le plus énorme de l'histoire de la crypto : 622 millions de dollars ont été détournés sur la plateforme de jeu ultra populaire Axie Infinity. L'éditeur Sky Mavis estime pouvoir dédommager les joueurs impactés…

L'annonce a fait l'effet d'un choc : Axie Infinity, le plus populaire des jeux play to earn (« on joue pour gagner ») a fait l'objet d'un piratage qui restera longtemps dans les annales : des hackers ont réussi à exploiter une faille de la blockchain Ronin, qui est à la base de ce jeu. Ils sont ainsi parvenus, au travers de deux transactions, à détourner 173.600 ETH, puis 25,5 millions de USDC - un stable coin dont la valeur est égale au dollar. Au total, cela représente l'équivalent de 622 millions de dollars.

Avec un mode de jeu analogue à Pokémon, Axie Infinity a rapidement séduit une dizaine de millions de joueurs. Ceux-ci sont notamment attirés par le fait qu’ils peuvent, au cours de leurs aventures, gagner des tokens (AXS ou SLP) qu’ils peuvent ensuite revendre. Dans une contrée comme les Philippines, Axie Infinity est devenu une source de revenus pour une partie de la population. © JorgeEduardo
Avec un mode de jeu analogue à Pokémon, Axie Infinity a rapidement séduit une dizaine de millions de joueurs. Ceux-ci sont notamment attirés par le fait qu’ils peuvent, au cours de leurs aventures, gagner des tokens (AXS ou SLP) qu’ils peuvent ensuite revendre. Dans une contrée comme les Philippines, Axie Infinity est devenu une source de revenus pour une partie de la population. © JorgeEduardo

Près d’une semaine pour détecter le piratage

Six jours se sont écoulés avant que Sky Mavis, l'éditeur d'Axie Infinity ne dévoile le pot aux roses - le hack s'est produit le 23 mars mais n'a été découvert que tardivement. Le ou les attaquants présumés ont réussi à pirater des clés privées d'usagers - une combinaison de 256 suites de 0 et 1, soit un code réputé inviolable.

Il semblerait que la faille remonte même à novembre 2021. À cette époque, en raison d'un très grand nombre d'usagers d'Axie Infinity, Sky Mavis s'est appuyé sur un validateur surnommé Axie DAO et l'a autorisé à signer diverses transactions en son nom. Or, cet accès qui avait pour vocation d'être temporaire n'avait pas été intégralement révoqué. Il semblerait aussi que les hackers aient fait usage de ce que l'on appelle de « l'ingénierie sociale », c'est-à-dire parvenir à amadouer un membre d'une entreprise afin de lui faire parler de choses qu'il n'est pas censé communiqué.

Un hack d’une valeur historique

Présent à une conférence organisée à Los Angeles (NFTLA), le cofondateur de Sky Mavis, Jeff Zitlin a reconnu que c'était « l'un des hacks les plus importants de l'Histoire ». Il reste qu'il s'agit du plus grand piratage de l'Histoire de la cryptomonnaie. Le précédent hack record, remonte à l'été 2021 ; il concernait l'entreprise Poly Network et la somme dérobée avait été de 611 millions de dollars. Toutefois, ceux-ci avaient été restitués par le hacker concerné et la performance s'était transformée en une proposition d'embauche en tant que chef de la sécurité.

Sous le feufeu des critiques, les fondateurs d'Axie Infinity ont tenté de sauver la face. Jeff Zeitlin a estimé qu'il y avait une possibilité « d'identifier les attaquants et de les traduire en justice ». Aleksander Larser, autre cofondateur de Sky Mavis, a certifié que les comptes impliqués seraient remboursés de leurs pertes. Et de fait, si les monnaies d'Axie Infinity, AXS et SLP ont subi une chute relative respectivement de 7 et 5 %, elles ont repris quelques couleurscouleurs, laissant à penser que l'épisode serait sans conséquences majeures sur le futur de Axie Infinity et de Sky Mavis.