Bancor : 2 ans après son dernier hack, une nouvelle faille détectée

Bancor (BNT) veut proposer sa blockchain comme plateforme pour des échanges et une finance qui soient décentralisés (DEX et DeFi). Un peu moins de 2 ans après un premier souci, le smart contract qui régit les transactions sur Bancor a de nouveau révélé une faille exploitable pour siphonner les fonds. Explications.

Une faille détectée dans le smart contract de Bancor

La première alerte a été donnée directement par l’équipe de développement du projet Bancor, sur leur compte Twitter. Le matin du 18 juin, une vulnérabilité a été découverte dans la nouvelle version (v0.6) du smart contract qui permet le fonctionnement de BancorNetwork. Cette mise à jour avait été implantée moins de 2 jours auparavant, le 16 juin.

Les derniers éléments se veulent rassurants : le contrat en question a été corrigé pour pallier cette vulnérabilité, et l’équipe de Bancor affirme que les fonds de ses utilisateurs sont en sécurité.

Pourtant, près d’un demi-million de dollars de cryptomonnaies ont bien été extraites à l’aide de cette vulnérabilité. Mais ce « hacker » l’a fait pour la bonne cause, comme nous allons le voir.

460 000 $ de fonds « détournés » par Bancor, en prévention

En fait, le pirate en question a été commandité par Bancor en personne, pour mettre en sécurité les fonds susceptibles d’être volés grâce à la faille du contrat intelligent.

Dans un second tweet, l’équipe de Bancor explique en effet que – dès qu’elle a réalisé l’existence de la vulnérabilité – elle a décidé d’exploiter la faille pour sécuriser 460 000 $ de cryptomonnaies qui étaient exposées.

Mais les cryptos sont-elles toutes sauves ? Ce n’est pas sûr pour l’instant, le compte Twitter de Hex Capital (@Hex_Capital) affirme en fait que 100 000 $ de cryptoactifs auraient aussi été drainés vers une adresse qui n’appartiendrait pas au « white hat » (gentil pirate) de Bancor.

En tout les cas, ce nouveau problème dans le smart contract ressemble beaucoup au précédent en juillet 2018. En effet, à l’époque, 23,5 millions de dollars de cryptos avaient été volées. 10 millions de dollars avaient été récupérés rapidement, grâce à l’intervention de Bancor.

Toutefois, cela démontre une certaine capacité d’action, et donc de centralisation, de la part de Bancor sur les actifs de ses utilisateurs. Tout cela, mêlé à la crainte qu’une faille se cache encore dans la dernière mise à jour, a provoqué un véritable exode de fonds par les utilisateurs inquiets.

Ainsi, en l’espace de 2 jours et selon les données de DefiPulse, les fonds engagés sur la plateforme de Bancor ont chuté de 19 millions à 14,3 millions $, soit une baisse de près de -25% en 48h.

Valeur totale (en USD) des cryptoactifs engagés sur la plateforme Bancor – Source : defipulse.com/bancor

L’équipe de Bancor promet un nouveau point complet sur la situation sous peu. Même s’il s’avère qu’aucun fonds n’ont été réellement perdus/volés, la confiance dans les smart contracts du BancorNetwork risque de prendre (à nouveau) un mauvais coup.

Rémy R.

Issu d’une formation universitaire en Sciences, je m’intéresse aux blockchains et à Bitcoin depuis 2013 et en ai même miné à l’époque. La bulle qui s'en est suivie m'en a détourné, mais je m'y suis replongé depuis 2017 et les étudie depuis avec passion.