Comment se faire 6,2 millions de $ sur la Binance Smart Chain ? Facile, si vous êtes aussi malin que ce hacker !

Une faille de plus exploitée Mais ça ne s’arrêtera donc jamais ? C’est ce que doivent se demander les acteurs de la finance décentralisée (DeFi) sur la Binance Smart Chain (BSC). C’est en effet un sixième protocole, en l’espace de quelques semaines, qui vient de subir une exploitation de faille : Belt Finance.

50 millions de dollars de pertes au total

À peine avons-nous eu le temps de parler du siphonage de 7,2 millions de dollars de crypto-actifs de l’exchange BurgerSwap sur la Binance Smart Chain, qu’un nouveau blessé s’ajoute à la liste déjà longue des protocoles hachés (PancakeBunny, bEarn, Bogged Finance et AutoShark, pour mémoire).

Cette fois, c’est le protocole Belt Finance qui a été attaqué, comme le relate notamment Decrypt. Le modus operandi est toujours basé sur l’exploitation des flash loans, ces prêts instantanés qui ne durent que le temps d’une transaction.

Hacker inconnu

La faille, qui aurait été exploitée « avec une précision extrême », a permis au hacker de repartir avec très exactement 6 234 753 BUSD, soit autant de dollars, puisqu’il s’agit du stablecoin de Binance adossé à la devise US.

Pire encore : en commettant son méfait, pendant lequel il a eu le temps de lancer 8 fois un smart contract exécutant un flash loan (le tout en à peine 10 minutes), le pirate a provoqué la perte de 43 795 699 de BUSD pour les utilisateurs de Belt Finance en frais de transaction.

Attaques coordonnées : théorie du complot ou réalité ?

Cette masse d’attaques sur la Binance Smart Chain a fini par donner le syndrome de Calimero aux développeurs de la blockchain, qui y voit des complots de hackers voulant nuire à la blockchain.

« Il y a eu plus de 8 piratages basés sur les flash loans récemment, nous pensons que des pirates bien organisés ciblent la BSC actuellement. C’est un moment très difficile pour la communauté BSC. Nous appelons à des réactions pour toutes les Dapps (applications décentralisées). »

Publication de la Binance Smart Chain sur Twitter
Une organisation criminelle derrière les hacks de protocoles sur la BSC ?
Une organisation criminelle derrière les hacks de protocoles sur la BSC ? – Source : @BinanceChain

Plus prosaïquement, on peut surtout considérer que tous ces piratages sont issus de failles de développement dans le code de ces protocoles, que ce soit aujourd’hui sur la BSC qui est très à la mode, ou hier sur Ethereum (avant que les frais de gas deviennent prohibitifs aux échanges).

La clé pour éviter ces désastres systématiques et récurrents semble donc surtout de multiplier les audits de code, avant de mettre à disposition des utilisateurs un projet mal fini – et surtout mal sécurisé.

Il y a malheureusement peu de chances que Belt Finance soit le dernier des protocoles DeFi à subir un tel siphonnage de fonds cryptos mis en liquidité. Organisés ou non, les hackers ne risquent pas de faire une croix sur de telles masses d’argent facile et n’hésiteront pas à exploiter une faille laissée par négligence dans un protocole, que ce soit en solo ou en groupe.

Rémy R.

Issu d’une formation universitaire en Sciences, je m’intéresse aux blockchains et à Bitcoin depuis 2013 et en ai même miné à l’époque. La bulle qui s'en est suivie m'en a détourné, mais je m'y suis replongé depuis 2017 et les étudie depuis avec passion.