Il vole 1,7 million de $ de cryptomonnaies en un clic grâce à un bug stupide
Même jour, différent hack – Les protocoles cryptos (bridge, DeFi) sont les cibles régulières des hackeurs, qui ne chôment pas, même l’été. Les développeurs de smart contracts aussi troués que du gruyère, ne chôment pas non plus. De grosses erreurs dans le code laissent certains protocoles en proie a des attaques improbables. Après le hack de Nomad (190 millions $), voici le Reaper Farm, le faucheur fauché.
C’est l’histoire d’un contract pas très smart
La firme d’audit de smart contract Paladin a révélé il y a quelques heures sur Twitter un nouveau hack dans l’écosystème de la finance décentralisée (DeFi). Cette fois c’est Reaper Farm qui a vu plus d’1,7 millions de dollars siphonnés d’après les premières estimations.
Bien que cette somme soit impressionnante, elle paraît négligeable comparée aux autres hacks récents. Ce qui ne le rend pas moins grave bien entendu. Mais la réelle gravité de la situation repose sur l’impensable faiblesse dans le code du smart contract des coffres forts Multi Strategy.
En effet, d’après Paladin le pirate a réussi à se faire passer pour le receveur légitime des retraits. Ce hack a été permis par l’utilisation du standard de jetons ERC4626. Il permet d’autoriser d’autres utilisateurs à retirer des fonds. Il a exploité un angle mort laissé par l’équipe de la plateforme.
L’équipe réagit vite et bien
Le compte twitter officiel de Reaper Farm a réagi en fin d’après-midi, soit moins de moins de vingt-quatre heures après avoir repéré l’attaque. L’équipe a publié un post-mortem, égrainant les premiers détails et s’engageant d’emblée à rembourser les utilisateurs lésés.
L’équipe a réussi à sauver 10% des fonds bloqués sur le smart contract Multi Strategy… en exploitant ellemêmes la faille. C’était peut-être la meilleure option une fois le hack identifié. Une initiative louable, mais malheureusement assez vaine.
Les développeurs reconnaissent leur responsabilité dans cette attaque, liée à un manque de vigilance interne. D’après @moonsdontburn (image ci-dessus), trois lignes de codes auraient pourtant fait l’affaire.
Un manque d’audits externes est cité après l’implémentation de certaines fonctionnalités et notamment celle de l’ERC-4626. Après un changement de dernière minute (avec des audits réalisés pour l’ancien modèle technico-économique), le nécessaire n’a pas été fait en termes de sécurité.
De son côté le pirate a envoyé des fonds vers des bridges Binance Smart Chain et Ethereum. Il a ensuite mixé les jetons dérobés afin de brouiller les pistes sur la blockchain. L’équipe annonce qu’elle va multiplier les communications et qu’un plan de remboursement sera établi après des discussions internes.
Épargnez en cryptos sans craindre les fluctuations des cours ou les hacks. Pour acheter du Bitcoin sans même vous en rendre compte, et en toute sécurité, inscrivez-vous sur Bitstack… et gagnez gratuitement 5€ de BTC grâce au code JDC5 en lançant votre première stratégie (lien commercial) !