Un hacker professionnel a installé un robot de balayage sur un portefeuille cryptographique compromis contenant 90 000 $ d'AVAX mis en jeu. Nous avions une semaine pour sauvegarder ces fonds sur la P-Chain d'Avalanche avant que le hacker ne puisse les réclamer. Voici l'histoire de la façon dont nous avons codé notre propre robot, combattu dans la forêt sombre de la blockchain et en sommes sortis victorieux.
Introduction
La clé privée d'un compte cryptographique a été volée et un bot malveillant a été installé sur le portefeuille. À l'intérieur de ce compte compromis, il y avait 90 000 $ d'AVAX mis en jeu, qui devaient être débloqués dans exactement une semaine. Une fois cette période de mise terminée, le pirate tenterait de tout récupérer.
Le hic, c'est que, comme un robot de balayage était connecté à ce portefeuille, aucune transaction normale ne pouvait être exécutée à partir du compte sans être instantanément « balayée » par le pirate. Même l'envoi d'un tout petit montant d'AVAX en guise de frais inciterait le robot à le voler, ce qui rendrait impossible la récupération des fonds mis en jeu.
Mais dans le monde de la sécurité blockchain, rien n'est vraiment impossible. Nous avons eu sept jours et une communauté puissante pour nous aider. Cette histoire détaille comment nous avons vaincu un robot dangereux, utilisé nos connaissances de la P-Chain d'Avalanche et réussi à sauver 90 000 $ d'AVAX.
Qui suis-je?
Pour ceux qui me lisent pour la première fois :
« Je suis spécialiste de la sécurité de la blockchain et auditeur de contrats intelligents. J'ai audité de nombreux projets de cryptographie et j'ai passé les trois dernières années à récupérer des jetons perdus dans des portefeuilles compromis. Mon expertise principale est la guerre des robots dans la blockchain, en particulier la façon dont les robots fonctionnent avec les contrats intelligents. »
Vous pouvez me trouver sur Twitter (X) à @0xSmartContract
Au fil des années, j'ai aidé à récupérer des jetons d'innombrables portefeuilles compromis. Si jamais vous vous retrouvez perdu dans la « forêt sombre » de la blockchain, vous êtes au bon endroit. Pour plus d'exemples d'opérations de sauvetage, n'hésitez pas à consulter mon précédent article de HackerNoon sur le contournement d'un robot balayeur pour économiser 26 000 $ de jetons : Comment avons-nous contourné le robot balayeur et sauvé 26 000 $ de jetons dans la forêt sombre de la blockchain ?
Je reçois au moins quatre ou cinq messages par jour de personnes du monde entier dont les comptes ont été piratés. Il y a eu une augmentation au cours de l'année dernière, probablement en raison de l'intérêt mondial croissant pour les crypto-monnaies - et donc du nombre croissant de criminels qui s'y intéressent. Les robots sont souvent les coupables, car ils excellent dans le sweeping et le front-running. Ils peuvent également exceller dans l'arbitrage, les stratégies MEV (valeur extractible par les mineurs) ou l'achat instantané de jetons mèmes. Mais ils sont particulièrement redoutables pour empêcher un portefeuille compromis d'effectuer des transactions jusqu'à ce que l'attaquant soit prêt à voler des fonds.
L'appel à l'aide : un délai d'une semaine
« J'ai reçu un message d'un utilisateur. Sa phrase de départ a été volée et tous ses fonds immédiatement disponibles ont été vidés. Mais le pirate a laissé un bot derrière lui pour récupérer tout ce qui entrait dans le portefeuille. Maintenant, le pirate attendait 90 000 $ d'AVAX pour se défaire de son enjeu en 7 jours sur la P-Chain d'Avalanche. »
Le problème : toute tentative d'envoi d'une transaction à partir de ce portefeuille (même les frais de gaz) serait instantanément balayée par le robot du pirate, rendant apparemment impossible le transfert d'actifs supplémentaires.
Méthode du hacker : les hackers installent souvent ces robots pour s'assurer qu'une fois qu'ils ont compromis un portefeuille, personne d'autre ne peut déplacer des fonds sans les payer au préalable. S'ils détectent des pièces entrantes ou si la victime essaie de miser/démettre, le robot envoie instantanément ces pièces dans le portefeuille du hacker.
Dans ce cas, le pirate s’est également fait passer pour un véritable responsable du projet blockchain sur LinkedIn — une tactique d’ingénierie sociale très convaincante.
Rejoignez la communauté AVAX
Notre victime faisait partie de l'une des communautés les plus solides de la cryptographie : Avalanche . Lors d'un événement Avalanche, la victime avait rencontré un membre de la communauté techniquement averti, @koaservatt , qui était prêt à l'aider. Reconnaissant la complexité de la situation, @koaservatt a mis la victime en contact avec moi. À partir de ce moment, nous avons formé une petite mais déterminée équipe de secours.
« Un grand merci à @koaservatt pour avoir organisé le sauvetage du début à la fin, partagé des informations uniques sur les mécanismes de jalonnement de la P-Chain d'Avalanche et être resté éveillé pendant près d'une semaine. C'est le pouvoir du soutien communautaire dans le monde de la cryptographie. »
Planifier la bataille entre robots
Nous avions sept jours avant la fin de la mise. Dès que la mise deviendrait transférable, soit le bot du hacker réclamerait l'AVAX, soit nous le ferions. Pour réussir, nous avions besoin d'un plan soigneusement élaboré et de notre propre contre-bot . Voici les principaux défis :
Un voleur professionnel
« Le pirate avait volé de nombreuses personnes et était en ligne 24 heures sur 24, 7 jours sur 7. C'était son seul travail : voler. Mais nous avons des emplois de jour, donc notre bot doit être exceptionnellement précis et rapide.
Territoire inconnu sur P-Chain
« La P-Chain d'Avalanche a une logique de transaction différente de celle d'un EVM classique (C-Chain). Aucune des approches habituelles basées sur EVM ne fonctionnerait ici. Nous avons dû revoir la documentation, les formats de transaction et le code d'Avalanche. »
Je recommande toujours de lire la documentation officielle et les référentiels open source pour bien comprendre les structures d'une blockchain. Voici quelques ressources que nous avons utilisées :
De plus, si vous souhaitez en savoir plus sur la manière dont j'aborde l'architecture des bots et visualise le code des contrats intelligents, consultez mon article sur HackerNoon : Smart Contract Codes: How You See It vs. How a Hacker Sees It
Le compte à rebours de 7 jours commence
Voici ci-dessous comment la semaine s'est déroulée alors que nous courrions contre la montre :
Jours 1 à 2 : Plongée en profondeur dans la chaîne P d'avalanche
« Si vous voulez combattre des robots sur un réseau blockchain, vous devez étudier le réseau au niveau du code. »
Pendant les deux premiers jours, je me suis plongé dans le dépôt GitHub d'Avalanche et dans la documentation officielle. Les mécanismes de transaction de la P-Chain diffèrent de la logique EVM typique, une compréhension approfondie était donc cruciale.
Jour 3 : Besoin d'un portefeuille et d'un environnement de test
« Nous devions tester plusieurs scénarios sur la P-Chain d'Avalanche. Cependant, la seule application de portefeuille officielle pour la P-Chain, « Core », a été soudainement supprimée par l'équipe du projet. Cela a entraîné un retard important. »
Sans interface de portefeuille standard, nous avons dû concevoir notre propre environnement de test et nos propres scripts pour expérimenter les transactions P-Chain. Cela nous a fait perdre quelques jours.
Jour 4 : Les actions des hackers sur la chaîne
« J'ai remarqué sur la chaîne que le pirate avait commencé à faire des préparatifs. De toute évidence, ils se préparaient également à la fin du jalonnement. Le temps commençait à manquer. »
J'ai soigneusement cartographié toutes les transactions possibles que le robot pourrait effectuer et les ai comparées avec la manière dont notre robot de contrepartie pourrait réagir. Nous avions besoin de rapidité et de précision.
Jours 5 – 6 : Test final de notre robot de sauvetage
« En me rappelant l'article légendaire de Dan Robinson sur la lutte contre les robots dans la « Dark Forest » d'Ethereum, je me suis souvenu de son avertissement : « Il y a une forte probabilité que vous sous-estimiez ces robots. » J'ai donc tout testé plusieurs fois. »
Nous avons écrit le code, l'avons testé avec de petites quantités et l'avons peaufiné. Nous avons intégré de nombreuses petites « surprises » pour déjouer le bot du hacker sur la P-Chain.
Pour ceux qui sont intrigués par ces types de scénarios de bot blockchain à enjeux élevés, voici l'article influent de Dan Robinson : Ethereum est une forêt sombre
Dernier jour : Déblocage du jalonnement et confrontation
« Lorsque la mise a pris fin, notre robot de sauvetage a dû exécuter sa transaction à la seconde exacte où AVAX est devenu disponible. C'était soit nous, soit le pirate informatique. »
Nous avons déployé notre bot, conçu pour traiter chaque étape de manière atomique :
- Transférez immédiatement l'AVAX vers une adresse de portefeuille sécurisée.🎯
- Empêchez le robot du pirate de devancer notre transaction en exploitant certaines nuances de transaction de la chaîne P et des appels méticuleusement chronométrés.🎯
Cela a fonctionné. Notre robot a dépassé le robot du pirate et a sécurisé les 90 000 $ d'AVAX. La transaction a été réglée et nous avons rapidement confirmé que les fonds étaient en sécurité dans une adresse nouvellement générée et non compromise. 😅🎉🎊
« Nous avons réussi ! Dans la forêt obscure de la blockchain, nous sommes sortis victorieux et avons économisé 90 000 $. Ce fut un immense soulagement ! » 🥇
Conclusion
Cette bataille intense d'une semaine sur la P-Chain d'Avalanche met en évidence plusieurs leçons importantes :
- La documentation de la blockchain est essentielle : comprendre les principes fondamentaux du fonctionnement des transactions sur une chaîne spécifique fait la différence entre le succès et l’échec.
- Les robots ne dorment jamais - Les robots balayeurs et les robots de premier plan peuvent être implacables. Si vos clés privées sont compromises, toute transaction normale est presque impossible. Vous avez besoin d'un plan robuste et créatif (et souvent, d'un robot personnalisé) pour avoir une chance.
- Le soutien de la communauté est important – Sans la communauté Avalanche (en particulier @koaservatt ), nous n’aurions peut-être jamais réussi ce sauvetage à temps.
- Ne sous-estimez jamais un robot de hacker : il est rapide, dédié et parfaitement adapté à l'environnement. Votre code doit être plus rapide et plus astucieux.
- Protégez toujours vos mots clés – La prévention est la meilleure défense. Ne partagez jamais vos mots clés, surtout pas sur des sites Web suspects ou avec des inconnus sur les réseaux sociaux.
Dernier mot
Au final, nous avons surmonté les obstacles, vaincu le robot de nettoyage du hacker et obtenu 90 000 $ d'AVAX mis en jeu. Si vous êtes perdu dans la sombre forêt de la blockchain, rappelez-vous qu'avec suffisamment de connaissances techniques, le soutien de la communauté et un peu de créativité, il y a presque toujours une issue.
Vous avez une histoire à raconter ou besoin d'aide ? J'utilise uniquement X (Twitter) pour communiquer et je reçois quotidiennement des messages de personnes en quête d'aide pour récupérer leurs jetons. Si vous souhaitez réfléchir à la récupération des jetons d'un compte compromis, n'hésitez pas à me contacter.
Si vous souhaitez apporter votre soutien ou réfléchir aux fonds qui doivent être récupérés sur les comptes piratés, vous pouvez m'envoyer un message sur mon compte Twitter.
Références et lectures complémentaires :
- GitHub AvalancheGo
- Format de transaction Avalanche P-Chain
- « Ethereum est une forêt sombre » de Dan Robinson
- Histoire précédente de sauvetage de HackerNoon
Bon piratage 🤖, 0xSmartContract
