4.4 millions de dollars envolés et un pont en ruine – Un nouveau bridge crypto tombe face aux hackers

La saison des hacks de bridges est ouverte – L’écosystème de la finance décentralisée (DeFi) propose un écosystème financier entièrement décentralisé et ouvert. Cependant, celui-ci est en proie aux hackers en tout genre. Après de nombreux hacks de protocoles DeFi, c’est au tour des ponts entre les blockchains d’être la cible des hackers. 

4,4 millions de dollars envolés sur Meter

Meter est un protocole qui offre un service de pont, communément appelé « bridge ». En fait, Meter Passport permet d’envoyer des fonds entre 6 différentes blockchains, à savoir Ethereum (ETH), Avalanche (AVAX), Meter (MTR), la Binance Smart Chain (BSC), Moonriver (MOVR), Theta (THETA) et Moonbeam (GLMR). 

Mais le dimanche 6 février aux alentours de 15 h, le protocole Meter a été la cible d’une attaque

Meter annonce l'attaque de son pont et la perte de 4,4 millions de dollars
Meter annonce l’attaque de son pont – Source : Twitter

Au total, l’attaquant a réussi à dérober l’équivalent de 4,4 millions de dollars en ETH et en BNB.

Après avoir identifié l’incident, les équipes de Meter ont rapidement mis en pause le pont. Un correctif a par la suite été publié. 

>> Venez faire vos premiers pas dans l’univers des cryptomonnaies sur KuCoin (lien affilié) <<

Le déroulement de l’attaque

Une vulnérabilité présente dans le pont a permis à l’attaquant d’appeler la fonction de dépôt des ERC-20 et de simuler un dépôt de BNB et d’ETH. Cela lui a permis de créer (mint) une importante quantité de BNB et wETH et de drainer les réserves en ETH et en BNB du protocole. 

À l’origine, Meter est un fork du protocole ChainBridge. Cependant, des modifications ont été apportées à certains contrats. Ce sont ces modifications qui ont introduit la faille. Après son attaque, l’attaquant a fait transiter les fonds via le protocole TornadoCash afin de brouiller les pistes. 

En parallèle, cette attaque a eu des répercussions sur d’autres protocoles. En effet, 3,3 millions de dollars ont été perdus par le protocole Hundred Finance.

L’investigation et le plan de compensation

Rapidement, les équipes de Meter ont pu identifier plusieurs pistes menant à l’attaquant. Ces dernières travaillent activement avec les services de police pour appréhender le hacker. 

En parallèle, un snapshot doit être réalisé par les équipes pour mettre en place un plan de compensation. Cependant, les détails de ce dernier n’ont pas encore été révélés.

« Nous travaillons à la prise d’instantanés et à la conception d’un plan de compensation pour les détenteurs de WETH et BNB et les fournisseurs de LP. »

Annonce de Meter

De surcroît, Meter a d’ores et déjà pris contact avec des sociétés d’audit afin de vérifier les contrats de la version 1.5 de son pont. 

Une fois n’est pas coutume, nous sommes face à un protocole qui a décidé d’auditer ses contrats après avoir été la cible d’une attaque. Pour que l’écosystème DeFi continue de croître sainement, il est nécessaire que les protocoles soient plus proactifs sur la sécurité, en auditant leurs contrats avant de les déployer en production. 

Depuis plusieurs mois, les hacks de ponts ou de protocoles cross-chain se multiplient. Une situation prédite par Vitalik Buterin au début du mois de janvier. Celui-ci pointait du doigt le risque systémique inhérent aux protocoles cross-chain.

Les milliards de dollars injectés dans la cryptosphère sont l’une des preuves concrètes du développement important de l’écosystème crypto au fil des ans. Souhaitez-vous rester en dehors de ce nouveau monde en construction ou y entrer pour saisir les opportunités de la nouvelle finance ? Idéale pour faire vos premiers pas dans bitcoins et les investissements cryptos en général, la plateforme KuCoin n’attend plus que vous.(lien affilié)

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.