Marketplace spécialisée dans les NFT de gaming, Vulcan Forged a été victime d’un hack. Les pirates ont profité d’une faille pour dérober les clés de 96 wallets.

Les applications DeFi ne sont pas les seules à intéresser les cybercriminels et à devoir par conséquent renforcer leurs mesures de sécurité. Le marché en plein boom des NFTs doit également durcir ses cyberdéfenses.

C’est ce que met en évidence l’attaque menée contre Vulcan Forged. Le service hébergé sur la blockchain Polygon a été la cible d’une intrusion. La place de marché dédiée aux tokens non fongibles du secteur du gaming perd gros dans cette attaque.

Des utilisateurs braqués de 140 millions $

Une faille de Vulcan Forged est à l’origine de ce nouveau piratage d’envergure. Un hacker a utilisé la plateforme afin d’accéder aux clés privées de 96 wallets crypto. Le voleur a ainsi pu mettre la main sur 4,5 millions de jetons natifs du service, des tokens PYR.

Cela représente pas moins de 9% de l’offre totale de 50 millions de jetons Vulcan Forged. Pour les utilisateurs victimes, cela représente une perte estimée à 140 millions de dollars. Ceux-ci seront cependant indemnisés.

La marketplace s’engage à rembourser les victimes. Elle affirme d’ailleurs avoir déjà pioché dans sa trésorerie afin de compenser 50% des tokens dérobés. Ce geste ne fait cependant pas disparaître le déficit de confiance à l’égard de l’entreprise.

Depuis l’officialisation de l’attaque, le prix du PYR a déjà perdu plus de 30% de sa valeur. Le cours chute de 32 à 21 dollars. Si les victimes ont récupéré une partie de leurs jetons, leur valeur demeure moindre malgré tout.

Une vulnérabilité de Vulcan Forged

Selon le PDG de l’entreprise, Jamie Thomson, l’attaque a ciblé des wallets en semi-custody dont la gestion était assurée par Vulcan Forged. Mais ce n’est cependant pas l’éditeur du wallet, Venly, qui est en cause.

“Ce qui s’est passé, c’est que quelqu’un a exploité nos serveurs, a obtenu les informations d’identification de Venly, et les a utilisées pour extraire les clés privées des utilisateurs de MyForge”, témoigne le dirigeant sur les réseaux sociaux.

En réaction, la société fait savoir qu’à l’avenir elle n’exploitera plus uniquement que des wallets décentralisés. Cela ne répare pas le préjudice subi par les actuels détenteurs de jetons PYR.

Le hack souligne d’ailleurs la très forte concentration de jetons entre les mains d’un petit nombre d’investisseurs. Le hacker a eu principalement accès aux wallets de baleines avec un montant moyen de 1,46 million de dollars par wallet.