Comment se faire 27 millions de $ en un clic grâce à la Binance Smart Chain – Les pirates se régalent !

Des audits totalement inutiles ? – Une nouvelle attaque vient de frapper un protocole de la Binance Smart Chain. Une fois n’est pas coutume, le protocole avait fait l’objet d’un « audit », remettant une fois de plus en question leur rigueur. 

Un véritable magot évaporé en un claquement de doigts

Le 24 juin, le protocole StableMagnet hébergé sur la Binance Smart Chain a été victime d’un rugpull. Autrement dit, un attaquant a réussi à exploiter le code du protocole pour retirer les fonds qui y étaient déposés. D’après les informations relayées par le groupe Rekt, spécialisé dans l’analyse d’attaque DeFi, l’attaquant aurait utilisé une faille présente dans le code de la librairie SwapUtil.

« La bibliothèque SwapUtil non vérifiée contenait, non seulement du code pour vider toutes les paires, mais aussi du code pour siphonner les jetons de tous ceux qui avaient approuvé StableMagnet. »

Publication de Rekt

Ainsi, en une seule transaction, l’attaquant a été en mesure de retirer 22 millions de dollars. Une somme qui est depuis montée à plus de 27 millions de dollars à mesure qu’il a vidé avec minutie les wallets des utilisateurs ayant approuvé le protocole avec leurs wallets. 

Au regard du déroulement de l’attaque, il est évident que celle-ci a été méticuleusement préparée. En effet, dans les heures qui ont suivi, les fonds ont été transférés sur Binance afin d’être envoyés sur le réseau Ethereum. 

Une fois les USDT récupérés sur Ethereum, l’attaquant s’est empressé de les convertir dans le stablecoin décentralisé DAI. Afin de couvrir au mieux ses traces, l’ensemble des fonds ont été dispersés sur plusieurs adresses. 

Une audit manquant de sérieux

Malheureusement, cette attaque aurait pu être évitée à de nombreuses reprises. 

Dans un premier temps, Rekt a été prévenu de l’attaque par un internaute anonyme avant que celle-ci ne survienne. Cependant, ces derniers n’ont pas été en mesure de communiquer sur l’imminence de l’attaque par manque d’informations.

« Nous ne pouvions pas vérifier les affirmations, et nous avions donc les mains liées. Si nous avions lancé un avertissement public et que les accusations avaient été fausses, nous aurions semé la confusion et potentiellement porté préjudice à un projet innocent. »

Publication de Rekt

Dans un second temps, l’attaque aurait pu être évitée si Techrate, la société à l’origine de l’« audit » du protocole avait réalisé sa mission avec sérieux. En effet, il semblerait que Techrate ait audité le code publié sur GitHub, non les contrats déployés. De ce fait, il était tout à fait possible de passer l’audit haut la main, alors que les contrats réellement utilisés étaient vérolés. 

Depuis l’attaque, l’ensemble des réseaux sociaux de StableMagnet ont été supprimés. Il en va de même pour le site, depuis inaccessible.

D’autres projets utilisent le même contrat non vérifié et seraient potentiellement vulnérables à un rugpull. Parmi eux, nous retrouvons StableGaj, l’un des protocoles développés par Gajesh Naik, le développeur DeFi de seulement 13 ans.

Ces attaques à répétition contre la DeFi, ça fait froid dans le dos… Et si vous restiez plus conservateur et en restiez au bon vieux Bitcoin ? Achetez vos premiers satoshis avec notre lien affilié, sur une plateforme de référence !