En décembre 2017, la plateforme d’échange décentralisée EtherDelta subissait l’un des piratages DNS les plus sophistiqués de l’histoire des cryptomonnaies. Plus de 800 000 dollars de tokens ont été dérobés en quelques heures. Deux ans plus tard, le bureau du procureur américain parvenait à identifier et inculper deux suspects présumés responsables de cette fraude.
En bref
- EtherDelta a été piratée en décembre 2017 via une attaque DNS et un site clone
- Plus de 800 000 dollars de tokens ont été volés à des centaines d’utilisateurs
- Deux suspects, Elliot Gunton et Anthony Tyler Nashatka, ont été inculpés en 2019
- L’attaque combinait SIM swapping, ingénierie sociale et détournement DNS
- Aucun indice visuel ne permettait aux victimes de détecter le site frauduleux
Comment fonctionne une attaque DNS sur un exchange crypto ?
Le piratage d’EtherDelta illustre une technique redoutablement efficace. Les attaquants n’ont pas ciblé le code de la plateforme elle-même. Ils ont détourné son infrastructure réseau pour rediriger les utilisateurs vers un site identique, contrôlé par eux. Selon l’acte d’inculpation déposé au District Nord de Californie, 300 jetons Ethereum figuraient parmi les actifs dérobés.
[INTERNAL-LINK: piratages DNS crypto → article sur la sécurité des exchanges décentralisés]
L’attaque reposait sur le SIM swapping. Les hackers contactaient les opérateurs téléphoniques en se faisant passer pour les victimes. Ils obtenaient ainsi le transfert de leur numéro vers un appareil sous leur contrôle. Ce numéro servait ensuite à réinitialiser les mots de passe des comptes d’infrastructure web et DNS.
Les cinq étapes du piratage
L’acte d’inculpation détaille précisément la méthode employée par les deux suspects :
- Collecte d’informations personnelles sur les victimes ciblées
- SIM swapping via ingénierie sociale auprès des opérateurs téléphoniques
- Accès aux comptes email, DNS et infrastructure web grâce aux numéros détournés
- Réinitialisation des paramètres DNS pour rediriger le trafic vers le site clone
- Extraction des clés privées et adresses crypto des utilisateurs piégés
Ce qui rendait l’attaque particulièrement pernicieuse, c’est l’absence totale d’indices visuels. EtherDelta a précisé que le site clone ne comportait ni fil Twitter ni barre de chat. Les utilisateurs n’avaient aucun moyen de le distinguer du site légitime.
Qui sont les deux suspects inculpés ?
Près de deux ans après les faits, le bureau du procureur américain identifiait deux suspects en septembre 2019. Elliot Gunton, ressortissant britannique, et Anthony Tyler Nashatka, américain, ont été inculpés pour conspiration et fraude informatique. (Acte d’inculpation, District Nord de Californie, 2019)
[PERSONAL EXPERIENCE] Les cas de SIM swapping ciblant des acteurs crypto se sont multipliés dans cette période. La faiblesse ne résidait pas dans la blockchain mais dans les systèmes d’authentification traditionnels des opérateurs téléphoniques.
L’acte d’inculpation les décrit comme ayant “consciemment et volontairement convenu de commettre une fraude informatique.” Ils avaient accédé sans autorisation à des ordinateurs protégés dans un but frauduleux. La qualification retenue couvrait plusieurs chefs d’accusation distincts.
La situation d’EtherDelta avant le piratage
EtherDelta était à l’époque l’un des rares exchanges décentralisés fonctionnels sur Ethereum. Sa conception peer-to-peer lui valait une popularité croissante auprès des traders souhaitant éviter les plateformes centralisées. Cette visibilité en faisait aussi une cible de choix.
[UNIQUE INSIGHT] Le paradoxe de cette affaire est révélateur : EtherDelta proposait un protocole décentralisé résistant à la censure, mais son point de défaillance était son interface web centralisée. L’attaque n’a pas exploité la blockchain, mais la couche applicative traditionnelle.
EtherDelta, une plateforme déjà fragilisée
Le piratage DNS de 2017 n’était pas le seul problème d’EtherDelta. La Securities and Exchange Commission (SEC) avait sanctionné son fondateur, Zachary Coburn, en novembre 2018 pour avoir opéré un exchange non enregistré. (SEC, 2018)
En août 2019, des révélations supplémentaires pointaient vers un exit scam impliquant la plateforme. Des acteurs liés à une ICO frauduleuse auraient détourné 176 000 dollars supplémentaires. La plateforme avait changé de propriétaire en 2017, et cette transition semblait liée à plusieurs irrégularités.
[INTERNAL-LINK: exit scams ICO → article sur les arnaques dans les levées de fonds crypto]
Ce que cette affaire a changé pour la sécurité DeFi
L’affaire EtherDelta a mis en lumière une vulnérabilité structurelle des protocoles décentralisés. Leurs interfaces web restaient des points de défaillance classiques. Cette prise de conscience a conduit beaucoup de projets à renforcer leur infrastructure DNS et à adopter des mécanismes comme DNSSEC.
Selon le rapport Chainalysis sur la criminalité crypto, les attaques ciblant les infrastructures web des exchanges ont généré plusieurs centaines de millions de dollars de pertes entre 2017 et 2021. (Chainalysis Crypto Crime Report, 2022)
Questions fréquentes
Qu’est-ce qu’une attaque DNS dans le contexte crypto ?
Une attaque DNS détourne les entrées du système de noms de domaine pour rediriger les utilisateurs vers un faux site. Dans le cas d’EtherDelta, cela permettait de collecter les clés privées saisies par des utilisateurs qui croyaient interagir avec la vraie plateforme. Ce type d’attaque ne compromet pas la blockchain elle-même, mais l’interface web qui y donne accès. (Cointelegraph, 2019)
Qu’est-ce que le SIM swapping et comment s’en protéger ?
Le SIM swapping consiste à convaincre un opérateur téléphonique de transférer votre numéro vers une nouvelle carte SIM contrôlée par un attaquant. La meilleure protection est d’éviter d’utiliser le SMS comme second facteur d’authentification pour vos comptes crypto. Préférez une application d’authentification (TOTP) ou une clé physique de type FIDO2.
EtherDelta existe-t-elle encore aujourd’hui ?
EtherDelta a largement cessé d’être utilisée après les scandales de 2017 et 2018. L’émergence de protocoles comme Uniswap, qui fonctionnent directement depuis le wallet de l’utilisateur sans interface centralisée critique, a rendu ce type de plateforme obsolète. Le smart contract EtherDelta reste techniquement accessible sur Ethereum, mais il n’est plus maintenu.
[INTERNAL-LINK: exchanges décentralisés modernes → comparatif DEX Uniswap, dYdX, Curve]
Sources
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash