Bancor : 2 ans après son dernier hack, une nouvelle faille détectée
Bancor (BNT) veut proposer sa blockchain comme plateforme pour des échanges et une finance qui soient décentralisés (DEX et DeFi). Un peu moins de 2 ans après un premier souci, le smart contract qui régit les transactions sur Bancor a de nouveau révélé une faille exploitable pour siphonner les fonds. Explications.
Une faille détectée dans le smart contract de Bancor
La première alerte a été donnée directement par l’équipe de développement du projet Bancor, sur leur compte Twitter. Le matin du 18 juin, une vulnérabilité a été découverte dans la nouvelle version (v0.6) du smart contract qui permet le fonctionnement de BancorNetwork. Cette mise à jour avait été implantée moins de 2 jours auparavant, le 16 juin.
Last night at 12:00AM GMT, a vulnerability was discovered in a new version of the BancorNetwork v0.6 smart contract deployed on June 16 2020.
All user funds are safe.
We have deployed a new version of the BancorNetwork contract that fixes the vulnerability.
— Bancor (@Bancor) June 18, 2020
Les derniers éléments se veulent rassurants : le contrat en question a été corrigé pour pallier cette vulnérabilité, et l’équipe de Bancor affirme que les fonds de ses utilisateurs sont en sécurité.
Pourtant, près d’un demi-million de dollars de cryptomonnaies ont bien été extraites à l’aide de cette vulnérabilité. Mais ce « hacker » l’a fait pour la bonne cause, comme nous allons le voir.
460 000 $ de fonds « détournés » par Bancor, en prévention
En fait, le pirate en question a été commandité par Bancor en personne, pour mettre en sécurité les fonds susceptibles d’être volés grâce à la faille du contrat intelligent.
Dans un second tweet, l’équipe de Bancor explique en effet que – dès qu’elle a réalisé l’existence de la vulnérabilité – elle a décidé d’exploiter la faille pour sécuriser 460 000 $ de cryptomonnaies qui étaient exposées.
Mais les cryptos sont-elles toutes sauves ? Ce n’est pas sûr pour l’instant, le compte Twitter de Hex Capital (@Hex_Capital) affirme en fait que 100 000 $ de cryptoactifs auraient aussi été drainés vers une adresse qui n’appartiendrait pas au « white hat » (gentil pirate) de Bancor.
Not all user funds were migrated safely. See this tx by a non-Bancor controlled address draining nearly $100k of user funds in BNT https://t.co/xZeUNvcZ9G
— hexcapital.eth (@Hex_Capital) June 18, 2020
En tout les cas, ce nouveau problème dans le smart contract ressemble beaucoup au précédent en juillet 2018. En effet, à l’époque, 23,5 millions de dollars de cryptos avaient été volées. 10 millions de dollars avaient été récupérés rapidement, grâce à l’intervention de Bancor.
Toutefois, cela démontre une certaine capacité d’action, et donc de centralisation, de la part de Bancor sur les actifs de ses utilisateurs. Tout cela, mêlé à la crainte qu’une faille se cache encore dans la dernière mise à jour, a provoqué un véritable exode de fonds par les utilisateurs inquiets.
Ainsi, en l’espace de 2 jours et selon les données de DefiPulse, les fonds engagés sur la plateforme de Bancor ont chuté de 19 millions à 14,3 millions $, soit une baisse de près de -25% en 48h.
L’équipe de Bancor promet un nouveau point complet sur la situation sous peu. Même s’il s’avère qu’aucun fonds n’ont été réellement perdus/volés, la confiance dans les smart contracts du BancorNetwork risque de prendre (à nouveau) un mauvais coup.