
Nirvana Finance relancé : comment le pirate condamné suite à la première attaque de contrat intelligent de l'histoire a-t-il été arrêté ?
TechFlow SélectionTechFlow Sélection

Nirvana Finance relancé : comment le pirate condamné suite à la première attaque de contrat intelligent de l'histoire a-t-il été arrêté ?
Pour les développeurs de DApp, la sécurité des fonds est une dimension qui doit être prise en compte avec une attention particulière.
Auteur : @Web3Mario
Résumé : La semaine dernière a été riche en événements marquants. La Réserve fédérale américaine a procédé à une baisse relativement agressive de 50 points de base, tandis que la Banque du Japon est restée inactif, ce qui signifie qu’au moins dans les semaines à venir, il n’y aura probablement pas d’informations excessivement négatives. De nombreux articles analytiques ont déjà été publiés sur ce sujet, donc je n’entrerai pas davantage dans les détails ici. Pendant cette période, deux éléments clés suffisent à évaluer correctement les risques : premièrement, la reprise effective du marché de l’emploi ; deuxièmement, le risque de rebond de l’inflation. Par ailleurs, une brève information a attiré mon attention : le projet de stablecoin algorithmique Nirvana Finance sur Solana a annoncé le redémarrage de sa version V2. Ce projet avait été suspendu après avoir subi un piratage ayant entraîné la perte de plus de 3,5 millions de dollars en juillet 2022. Je me souviens avoir entendu dire que l’auteur du piratage avait été condamné, et le fait que le projet puisse désormais redémarrer implique que les autorités judiciaires ont très probablement achevé le transfert des fonds volés. Cela signifie que cette affaire peut désormais être considérée comme le premier cas aux États-Unis où un pirate informatique a été condamné pour avoir exploité une faille dans un contrat intelligent. Cet événement revêt une importance symbolique majeure pour le système juridique de common law, et à partir de maintenant, les procédures de traitement de cas similaires devraient connaître une amélioration significative. J’ai donc passé une partie du week-end à reconstituer minutieusement l’historique complet de cette affaire, que je souhaite partager avec vous.
Contexte de l'attaque par prêt flash contre Nirvana Finance
Je ne sais pas combien d’entre vous connaissent ce projet. Permettez-moi tout d’abord de résumer brièvement les faits. Nirvana Finance était un projet de stablecoin algorithmique sur Solana — je ne m’étendrai pas davantage là-dessus. Lancé au début de l’année 2022, il a été victime d’un piratage le 28 juillet 2022, lors duquel tous les collatéraux en stablecoin NIRV du protocole ont été dérobés, représentant environ 3,5 millions de dollars. Les détails précis de l’attaque sont également intéressants : bien que le code du contrat n’ait jamais été rendu public (open source), le pirate a réussi à tirer profit de la fonctionnalité de prêt flash de Solend. À l’époque, cela a suscité de nombreuses accusations de complicité interne ("self-theft") dirigées contre l’équipe du projet.

Par ailleurs, avant le piratage, le projet affirmait avoir réalisé une « audit automatisé ». En réalité, cet audit n’avait aucun effet probant. Dans une interview ultérieure avec Cointelegraph, le cofondateur Alex Hoffman a indiqué que l’équipe venait juste de commencer un audit officiel la semaine même de l’attaque. Selon ses dires, il n’avait pas anticipé un tel engouement autour de Nirvana Finance au moment du développement. Ce n’est que lorsque plusieurs médias chinois se sont penchés sur le projet que la valeur totale verrouillée (TVL) a connu une forte croissance. Cela reste compréhensible : c’était précisément l’époque où Luna connaissait son apogée, et les projets de stablecoins algorithmiques étaient naturellement sous les feux des projecteurs. Suite à ce succès initial, le PDG de Solana, Anatoly Yakovenko, avait personnellement exhorté Hoffman à faire auditer les contrats intelligents et avait tenté d’accélérer le processus auprès des sociétés d’audit.
Après le vol des collatéraux, le projet est entré en sommeil, mais son serveur Discord a continué à être maintenu par des membres officiels. Pendant cette période, la communauté a conservé une surveillance constante sur les fonds volés. Toutefois, comme le pirate avait finalement utilisé des outils comme Tornado Cash et Monero pour dissimuler les traces, aucune récupération concrète n’avait pu être effectuée. Un tournant est survenu le 14 décembre 2023 : Shakeeb Ahmed, un ingénieur senior en sécurité logicielle ayant travaillé chez Amazon, s’est déclaré coupable devant le tribunal du district sud de New York d’une accusation de fraude informatique liée au piratage de Nirvana Finance et d’un autre DEX cryptographique non nommé. Le bureau du procureur américain a déclaré qu’il s’agissait du tout premier cas au monde où une personne était condamnée pour avoir attaqué un contrat intelligent.

Bien sûr, le fondateur n’a pas abandonné après l’attaque. Il s’est ensuite lancé dans le développement d’autres projets, Superposition Finance et Concordia Systems. L’un des avantages de préserver un certain anonymat est que les spéculations négatives (FUD) ne peuvent pas facilement être transférées vers ces nouveaux projets. Le 15 avril 2024, le verdict a été prononcé : Shakeeb Ahmed a été condamné à trois ans de prison pour intrusion informatique et escroquerie contre deux plateformes de cryptomonnaies. Puis, le 6 juin, les fonds volés ont été transférés vers le compte désigné par l’équipe, marquant ainsi officiellement la récupération complète des actifs perdus.

En réalité, l’origine de cette affaire remonte à Crema Finance ; Nirvana Finance a été révélé activement par le pirate après son arrestation
À l’époque des faits, cet ingénieur logiciel âgé de 34 ans occupait un poste d’ingénieur principal en sécurité au sein d’une entreprise technologique internationale, spécialisé dans l’audit des contrats intelligents et de la blockchain. Il maîtrisait particulièrement bien l’ingénierie inverse des logiciels. Cela explique comment Nirvana Finance a pu être attaqué malgré l’absence de publication de son code source : l’ingénierie inverse consiste à utiliser des outils de décompilation pour reconstruire, à partir du code binaire exécutable, le code source original lisible par un humain. Bien que le contrat n’ait pas été open source, tous les codes compilés des contrats intelligents sont stockés publiquement sur la blockchain, ce qui permet à des développeurs expérimentés d’en extraire aisément les informations.
Selon les documents publiés ultérieurement par le ministère américain de la Justice, l’affaire a en réalité commencé par une attaque contre un DEX décentralisé survenue en juillet 2022, entraînant une perte d’environ 9 millions de dollars. Une comparaison des données suggère qu’il s’agit très probablement de Crema Finance. Le 4 juillet 2022, Shakeeb Ahmed avait mené une attaque par prêt flash contre cette plateforme, proposant ensuite une « prime de chapeau blanc » de 2,5 millions de dollars afin de restituer les actifs des utilisateurs et renoncer à toute poursuite. Finalement, Crema Finance a accepté de payer environ 1,68 million de dollars en tant que compensation.
Les documents indiquent également que Nirvana Finance n’a été identifié qu’après que le pirate, une fois arrêté, a avoué les faits. Parmi les preuves ayant conduit à la condamnation de Shakeeb Ahmed figuraient non seulement les historiques de navigation retrouvés sur son ordinateur personnel, mais aussi la description des divers moyens utilisés pour dissimuler les fonds après les attaques, notamment des protocoles de mixage, Tornado Cash et Monero. Cela soulève une question intrigante : qu’a exactement fait Shakeeb Ahmed pour finalement être capturé ?
Deux hypothèses principales se présentent. Premièrement, selon l’analyse réalisée à l’époque par SolanaFM, l’adresse de l’attaquant avait interagi soit directement avec Huobi, soit avec des adresses associées à des plateformes imbriquées liées à Huobi, car les fonds initiaux provenaient de là. Deuxièmement, une erreur dans l’utilisation de Tornado Cash : la capacité de ce service à brouiller l’origine des fonds dépend de la durée pendant laquelle les fonds y restent déposés. Plus ils y restent longtemps, et plus il y a de transactions de retrait durant cette période, plus le niveau de brouillage augmente. Or, peu de temps après l’attaque, des retraits ont eu lieu rapidement après le dépôt, et les fonds retirés ont finalement abouti sur l’exchange centralisé Gemini. Cela laisse penser que les autorités judiciaires ont pu identifier Shakeeb Ahmed grâce à une coopération avec ces deux exchanges centralisés, avant de l’arrêter à New York.
Quoi qu’il en soit, la récupération des fonds volés est une excellente nouvelle. Elle met également en lumière deux points essentiels : d’abord, pour les développeurs de DApp, la sécurité des fonds doit désormais être une priorité absolue. Ensuite, cette affaire établit désormais un précédent juridique concret, qui devrait exercer un effet dissuasif notable sur les comportements futurs.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News














