Le pirate d'Upbit pourrait utiliser Railgun pour mélanger des fonds. Malgré les contrôles effectués par le service de mixage, les adresses du pirate n'ont pas été détectées et les transactions ont pu se poursuivre.
L'analyse on-chain a révélé que les adresses liées au piratage d'Upbit utilisaient le service de mixage Railgun. Ce service effectue une vérification à divulgation nulle de connaissance de l'origine des fonds. Cependant, cette fois-ci, la vérification n'a pas mixage des fonds
Upbit a été victime d'un piratage ayant entraîné le vol de plus de 36 millions de dollars , dont plus de 30 millions d' Solana . Cette attaque multichaîne a provoqué des échanges et des transferts de fonds immédiats entre portefeuilles.
Le pirate a vendu la plupart des actifs presque immédiatement, notamment Solana . L'enquêteur on-chain @dethective a constaté que ces ventes avaient eu un impact sur les volumes du marché décentralisé. Le lendemain du piratage, les portefeuilles du pirate ont converti leurs Solana en SOL. Ces SOL ont ensuite été échangés contre des USDC, et les stablecoins ont été transférés vers Ethereum pour être mélangés.
Au total, le pirate informatique détenait plus de 533 ETH après déduction des frais, soit une valeur d'environ 1,6 million de dollars. Le passage à Ethereum et le mélange de cryptomonnaies qui s'ensuit constituent un schéma généralement attribué aux pirates informatiques nord-coréens.
Upbit a également fourni de nouvelles informations concernant le piratage dont elle a été victime. Selon un communiqué de la plateforme, l'exploitation de la faille pourrait être due à une vulnérabilité de son système interne, qui a depuis été corrigée. Upbit a précisé que le pirate aurait pu déduire des clés privées à partir de portefeuilles en ligne accessibles au public, en raison d'un hachage de clés prévisible et d'un chiffrement faible.
Railgun ne disposait pas des informations les plus récentes concernant les portefeuilles des pirates informatiques.
La méthode de Railgun consiste à tester les portefeuilles de chaque utilisateur à l'aide de bases de données constamment mises à jour pour détecter les acteurs malveillants. Dans ce cas précis, la liste complète des adresses du pirate était très récente. De plus, l'exploitation de la faille a permis de réaliser plusieurs échanges directs sur des plateformes d'échange décentralisées (DEX), et une partie des fonds a été transférée vers de nouveaux portefeuilles. Les données disponibles pour Railgun étaient donc obsolètes, et le dernier portefeuille utilisé par le pirate a passé le test avec succès.
Le dernier portefeuille intercepté a blanchi un total de 410 ETH . La nouvelle adresse a été créée quelques heures seulement après le piratage et brièvement utilisée comme intermédiaire. Ce changement rapide de portefeuille a également permis de contourner les filtres de Railgun.
Le canon électromagnétique utilisé pour les activités DeFi
Railgun a gagné en popularité avec le récent regain d'intérêt pour la protection de la vie privée. Son portefeuille d'actifs s'est étoffé, atteignant 95 millions de dollars bloqués en novembre 2025. Cette augmentation témoigne d'un intérêt croissant, la plateforme ayant généré 1,31 million de dollars de commissions au troisième trimestre.
L'utilisation des mixeurs a augmenté au cours de l'année écoulée. Tornado Cash, qui n'enregistrait auparavant qu'une activité minimale, a vu la valeur de ses fonds bloqués atteindre un nouveau sommet. Ce mixeur détient plus de 32 000 ETH, suite à plusieurs exploits retentissants.
Le jeton RAIL natif a également progressé de plus de 200 % au cours des trois derniers mois, atteignant 3,26 $ . Railgun reflète le succès de ZCash et d'autres jetons axés sur la confidentialité, tout en étant promu par Vitalik Buterin.
Railgun n'est pas l'outil de prédilection des pirates informatiques. Il s'agit plutôt d'un outil général de protection de la vie privée pour les transactions courantes. Les influenceurs crypto et les personnalités publiques privilégient la confidentialité, car même les données de transaction peuvent permettre de les tracou d'anticiper les fluctuations de prix.
Cependant, l'utilisation de Railgun peut également être trac. De plus, les adresses des pirates informatiques peuvent utiliser des outils pour tester quels portefeuilles seraient signalés par Railgun. Cela leur permettrait de dissimuler les gains issus des exploits, dont la plupart sonttrac.
