« Quand la vie te donne des citrons, échange-les contre des bitcoins et prie pour que personne ne pirate ton portefeuille. » Voilà où en est CoinDCX, la plateforme d’échange crypto la plus populaire d’Inde, qui vient de vivre son propre lemon-squeeze numérique. Les hackers, armés de leur soif insatiable pour les portefeuilles mal surveillés, ont réussi à siphonner des millions en cryptos, mettant une sacrée dose de piment dans la routine de l’entreprise.
Selon un message posté sur X (anciennement Twitter) par Sumit Gupta, le grand manitou de CoinDCX, l’attaque a visé un compte interne utilisé uniquement pour des opérations de liquidité. Bonne nouvelle (du moins pour les clients) : les fonds des utilisateurs n’ont pas été touchés. Mauvaise nouvelle (pour CoinDCX cette fois) : c’est du propre trésor de l’entreprise que les millions se sont envolés. Un peu comme se faire cambrioler sa salle du coffre-fort, mais pas la boutique principale.
Un Sherlock Holmes de la crypto, le chercheur ZachXBT, a flairé l’affaire puis révélé que le butin s’élève à environ 44,2 millions de dollars. Un joli pactole qui a transité via les fameux ponts Solana-Ethereum, avant d’atterrir en sommeil profond (et probablement bien surveillé) sur des comptes bien planqués. Les cybercriminels, quant à eux, ont utilisé Tornado Cash pour brouiller les pistes, sans doute en se disant que la transparence n’était pas à la mode cette saison.
En crypto, il vaut mieux avoir de bons mots de passe et encore meilleurs plans de secours.
CoinDCX n’a toutefois pas perdu la boussole ni la face : en coopération avec le CERT-In d’Inde et quelques partenaires, la société enquête tambour battant pour retrouver l’origine de la fuite et, soyons fous, récupérer le magot. Dans un esprit très « Scooby-Doo », ils invitent désormais toute la communauté crypto à les aider, avec une prime de 25% sur tout montant récupéré. À vos loupes, super-détectives !
Le CEO, sans doute plus adepte des nuits blanches qu’il y a quelques jours, s’est voulu rassurant : le compte touché a été rapidement isolé et, grâce à une stricte séparation entre les fonds opérationnels et les portefeuilles clients, les utilisateurs n’ont rien vu passer. La compagnie joue franchement la carte de la transparence – mais cette fois, sans Tornado Cash.
Impossible de ne pas remarquer que cette histoire rappelle un autre casse du siècle : celui de la plateforme rivale WazirX, qui s’est faite délester de 230 millions de dollars il y a un an, poussant tout le monde à couper la lumière. Entre compétitions records et déboires quasi-jumeaux, on se demande si les hackers n’ont pas tous un abonnement annuel chez les exchanges indiens.
En tout cas, CoinDCX fait de nécessité vertu. Sa « Recovery Bounty » est ouverte, l’enquête continue, et les clients peuvent continuer de dormir (presque) sur leurs deux oreilles. Mais souvenez-vous : dans l’univers des cryptos, il vaut mieux garder un œil ouvert… et l’autre sur son portefeuille ! Comme on dit dans la Silicon Valley du sous-continent, on n’est jamais à l’abri d’un « bit-attaque » de panique.
Source : Techcrunch
