Hack d’Audius : 6 millions de $ dérobés grâce à la gouvernance d’une DAO
Pourquoi vouloir décrocher la Lune quand on a les étoiles ? – Comme le chante notre ami Etienne, les DAO permettent de belles choses. Surtout quand un petit malin trouve une faille lui permettant d’encaisser une somme importante. Son étoile, il va pouvoir se l’acheter en fredonnant gaiement. Et ça grâce à Audius qui s’est fait pirater ce week-end.
Pour une fois que l’on vous demande votre avis !
Imaginez – Vous avez l’habitude de travailler avec un protocole demandant votre avis, de manière simple, pratique et totalement transparente. Des votes apparaissent régulièrement, vous incitant à vous exprimer sur un choix d’amélioration du protocole, ou sur une question de fonctionnement global. C’est démocratique, pratique et très à la mode.
C’est la manière de fonctionner qu’a choisi Audius, un protocole de streaming qui permet ainsi à sa communauté de prendre des décisions sur ses actions.
Donc, si le protocole vous propose de voter pour le déplacement de 18 millions de ses tokens, le AUDIO, vous allez certainement répondre oui. Après tout, c’est la 85ᵉ demande de gouvernance de ce type. Et puis, c’est vraiment génial de pouvoir décider de la gestion des fonds de manière communautaire. Alors, vous cliquez sur « oui ».
Et là, derrière son écran, Jean Fabrice (nom d’emprunt), hacker de son état, se marre comme un bossu en voyant que le vote, après de longues minutes d’attente, est enfin validé.
Et là, c’est le drame pour Audius !
Parce que oui, Jean Fabrice est un malin. Il a repéré une faille dans le smart contract de la plateforme. Celle-ci lui donne tous les droits de création, lui permettant ainsi de soumettre une proposition de gouvernance malveillante, créée de toute pièce.
Une fois qu’elle a été validée, il a ainsi pu récupérer les 18 millions de jetons AUDIO, d’une valeur approximative de 6 millions de dollars, et s’est empressé de les vendre.
Audius a communiqué sur le sujet dans la nuit de samedi à dimanche.
Bonjour à tous – notre équipe est au courant de rapports faisant état d’un transfert non autorisé de jetons AUDIO du trésor communautaire. Nous enquêtons activement et vous ferons rapport dès que nous en saurons plus. Si vous souhaitez aider notre équipe d’intervention, veuillez nous contacter.
Compte Twitter officiel du projet – Source : @AudiusProject
Notre pirate fan de musique a ensuite réussi à vendre ses jetons pour un montant de 1,1 million de dollars, le cours ayant chuté avec cette vente massive. Avec 705 ethers en poche, l’auteur de la proposition malveillante à de quoi voir venir. Surtout avec l’approche de The Merge d’Ethereum qui pourrait fortement faire monter son prix.
Audius, après avoir suspendu le smart contract dans laquelle la faille se trouve, annonce l’avoir corrigée et fera un retour sur le hacking et la situation dans quelques heures.
À l’heure actuelle, les fonds en ETH sont toujours sur le wallet du pirate. Est-ce qu’ils seront restitués, moins un petit pourcentage pour avoir débusqué le bug ? Ou est-ce que le hacker attend simplement que la situation se tasse ? Nous en saurons certainement plus dans quelques jours.
Même si les arnaques se font principalement via de faux sites ou des fausses campagnes par mail, le hacking direct des plateformes est encore monnaie courante. Maintenant, en plus de relire dix fois le moindre mail reçu, il vous faudra prendre le temps de bien décortiquer les questions posées pour des demandes de gouvernance. Et, il faudra tourner 7 fois autour du clavier avant de cliquer sur « oui ».