La start-up neuchâteloise Bity est l’unique plateforme en ligne de courtage d’actifs numériques en Suisse. Le 17 juin 2016, elle assiste en direct au séquestre de 72 millions de francs en crypto-monnaie par un hacker. Elle témoigne.
Par Mehdi Atmani
C’est un hold-up à 72 millions de francs qui se déroule en trois actes. Nous sommes le 17 juin 2016, à Serrières (NE), au siège de Bity. La start-up cofondée en 2014 par Alexis Roussel et Gian Bochsler est la première plateforme en ligne de courtage de bitcoin et d’éther. Elle sera le témoin privilégié de cet extorsion de fonds. Ce matin-là, les deux chefs d’entreprises ont la banane et la tête pleine d’ambitions. Depuis le 28 avril, il assiste à la naissance du projet communautaire de la DAO. Cette société autonome et décentralisée fonctionne sur le réseau blockchain de la start-up Ethereum. Celle-ci étudie les potentialités des protocoles de cryptage au-delà d’un usage purement monétaire. Réputée infaillible, la DAO va pourtant subir l’un des plus grands hack de sa courte histoire.
Il est 9h dans le loft-bureau de 300m2. Alexis Roussel se tire un dernier café avant le grand oral. L’entrepreneur a convié autour de la table des avocats, des anciens cadres de la Finma, ainsi que des professeurs d’Université pour discuter des enjeux réglementaires, fiscaux et juridiques qui entourent encore les actifs numériques. Alexis Roussel est en charge de la démonstration. Il dégaine alors son vieil Asus chromé pour leur montrer le visage d’un portefeuille en ether sur la DAO. Un exemple parmi d’autres des applications possibles dans l’écosystème des crypto-monnaies. La DAO pèse alors l’équivalent de 250 millions de francs suisses en actifs numériques. Soudain, se souvient Alexis, le compte de la DAO se vide toutes les 15 secondes sous ses yeux. «C’était la panique sur les réseaux sociaux, mais fascinant en même temps.»
L’alerte est donnée à 10h05 par un message posté sur le chat de la communauté Ethereum. Griff, le porte-parole de Slock-it – la société allemande qui développe la technologie de la DAO – en est à l’origine. «La DAO est attaquée. Ce n’est pas un exercice», écrit-il. Selon les premiers éléments, les salves du hacker auraient été tirées trois-quatre heures auparavant. Si certains sont persuadés que la communauté pourra combler rapidement cette faille sécuritaire, Alexis Roussel est beaucoup plus sceptique. «Les actions entreprises sur une blockchain sont immuables. Il n’y a pas de retour en arrière possible, explique Alexis Roussel. Ma crainte était que la seule option possible soit que le hacker accepte de rendre l’argent.» Trop alarmiste? Le déroulement des événements donnera malheureusement raison au cofondateur de Bity.
Dès la découverte du hacking, Griff appelle à l’aide la communauté. Il lui demande entre autre de spammer le réseau de messages pour ralentir les actions de l’assaillant. Une première mesure pour se donner le temps d’échafauder une contre-attaque. A ce stade, la solution est de mener un split. Il s’agit d’un mécanisme inventé dans la DAO qui protège les petits porteurs. Au sein de la DAO, tous les investisseurs – petits et gros – bénéficient d’un droit de vote sur les actions entreprises. Les décisions se prennent donc démocratiquement. Celui qui s’y opposerait peut faire un split, c’est-à-dire qu’il retire le montant de ses investissements dans la DAO mère pour les placer au sein d’une DAO plus petite dont il détient le contrôle à 100%.
Un split est alors envisagé pour sécuriser l’argent restant sur le portefeuille de la DAO. Mais cette solution exige le consensus de la communauté. Il est bientôt midi. Le hacker est d’ores et déjà parvenu à séquestrer l’équivalent de 72 millions de francs en crypto-monnaie. Soit 30% du portefeuille de la DAO. Son mode opératoire se précise. «Le hacker a utilisé une faille récursive présente dans le mécanisme du split», détaille Alexis Roussel. En d’autres termes, l’assaillant est parvenu à multiplier les instructions de split pour sortir l’argent. La DAO n’enregistre qu’une seule instruction alors que le hacker multiplie l’opération. «Il a été très malin, relève Alexis Roussel. Certains dans la communauté pensent que ce n’est pas un vol puisqu’il a respecté les règles de la DAO pour sortir l’argent.» Sans pouvoir le toucher.
Un compte à rebours de 27 jours
Un pare-feu sécuritaire existe. Tout investisseur à l’origine d’un split doit respecter un délai de 27 jours avant de pouvoir jouir de son argent. Si le hacker est parvenu a exploité une faille de la DAO, il n’est pas multimillionnaire pour autant. Du moins, pas encore. Ce délai de latence sera la salut de la communauté Ethereum qui s’engage dans une course contre la montre pour trouver une solution afin de récupérer ces 72 millions de francs. Faut-il encore trouver un consensus. «La première option envisagée était d’annuler toutes les transactions de la DAO. Mais cette solution punit le hacker, comme la communauté, explique Alexis Roussel. Une autre aurait été de détruire l’argent volé» Il reste une dernière solution, permettant aux investisseurs de récupérer leur argent sur simple demande et d’anéantir les efforts du hacker. Baptisée Hardfork, celle-ci soulève un grand débat au sein de la communauté.
En effet, le hardfork implique un changement profond dans le code du logiciel de la DAO, mais également dans la blockchain. Un changement technique qui impacte l’ensemble de la communauté. Il faut donc une décision unanime des utilisateurs. «Le hardfork remet en cause le principe d’immutabilité de la blockchain d’ethereum», précise Alexis Roussel. Il sera finalement lancé le 20 juillet 2016. La communauté récupère ainsi l’argent séquestré et le redistribue.
Neuf mois après cette tentative d’extorsion de fonds, le hacker court toujours. Malgré leurs efforts, les milliers de contributeurs de la DAO n’ont pas réussi à le localiser, ni à connaître ses motivations», souligne Alexis Roussel. L’appât du gain? Le besoin d’aider la communauté en révélant cette faille au grand jour? «Ce qui est certain, c’est que le hacker était très proche de la communauté, ajoute Alexis Roussel L’attaque était très évoluée. Il lui fallait maîtriser le langage de programmation d’Ethereum. Et puis agir dans la plus grande discrétion.»
Les investisseurs ont tous été remboursés. La communauté a pris ses responsabilités. Pourtant c’est un sentiment d’inachevé qui demeure. De même que les questions. «Construire une DAO aussi forte avec une telle valorisation n’était peut-être pas la bonne solution, conclut Alexis Roussel. Avec le recul, il aurait peut-être fallu multiplier des petites DAO pour répartir les capitaux et les modes de gouvernance.» Depuis cet incident sécuritaire, de petites DAO se multiplient. Grâce au hacker, la communauté d’Ethereum vient peut-être de trouver un nouveau modèle de DAO.
Cet article est paru dans BILAN