Faille critique chez Cosmos – Les développeurs alertent

Premières retombées du hack sur la BNB Smart Chain – La semaine dernière, la BNB Smart Chain s’est retrouvée au cœur de la tourmente. En effet, le BSC Token Hub a été la cible d’une attaque d’envergure. Au total, l’équivalent de 500 millions de dollars a été dérobé. Malheureusement, cette faille n’est pas unique à la BNB Smart Chain. Ainsi, celle-ci semble également affecter l’IBC de Cosmos

Hack sur la BNB Smart Chain

Le 7 octobre dernier, la BNB Chain de Binance s’est retrouvée dans une situation plus que délicate. Ainsi, aux alentours de minuit heure française, la BNB Smart Chain est mise en pause. Cette situation fait suite à l’identification d’irrégularités sur la blockchain.

Rapidement, la thèse de l’attaque est explorée. Ainsi, un compte a rapidement été identifié pour avoir réussi à se procurer 2 millions de BNB dans ce qui semble être un hack. 

Finalement, Changpeng CZ Zhao a mis fin aux spéculations deux heures après le début des rumeurs. 

« Une attaque sur un pont inter-chaînes, BSC Token Hub, a entraîné le détournement de BNB. Nous avons demandé à tous les validateurs de suspendre temporairement la BSC. Le problème est maintenant maîtrisé. Vos fonds sont en sécurité […] L’estimation actuelle du préjudice est d’environ 100 millions de dollars US équivaut, environ un quart du dernier burn de BNB. »

Nouvelle qui a par la suite été confirmée par les trouvailles de plusieurs crypto-enquêteurs.  En effet, ces derniers ont révélé qu’il existait une faille dans la vérification des preuves sur le BSC Token Hub

« En résumé, il y avait un bug dans la façon dont le pont Binance vérifiait les preuves, ce qui aurait pu permettre aux attaquants de falsifier des messages arbitraires. Heureusement, l’attaquant n’a falsifié que deux messages, mais les dommages auraient pu être bien pires. »

Finalement, les équipes de Binance ont réussi à récupérer 400 sur les 500 millions dérobés.

>> Sécurisez vos cryptos sur un portefeuille Ledger. Frais de port offerts (lien commercial) <<

Cosmos IBC : la réelle cause de l’attaque ? 

Par la suite, de nombreux internautes se sont questionnés quant au lien possible entre cette faille et l’IBC de Cosmos.

Cosmos : un problème sur IBC ?
Cosmos : un problème sur IBC ?

En effet, l’écosystème des blockchains Binance est composé de deux blockchains : 

  • BNB Beacon chain : qui assure la gouvernance de la BNB Smart Chain ; 
  • BNB Smart Chain : blockchain compatible avec l’Ethereum Virtual Machine. 

Sauf qu’en pratique, la BNB Beacon Chain a été lancée en utilisant le SDK de Cosmos et tombe de ce fait dans la catégorie des chaînes Cosmos.

Malheureusement, les internautes qui ont envisagé un lien entre le hack et IBC avaient parfaitement raison. 

Ainsi, à la suite de l’attaque, les équipes de Cosmos et Osmosis ont extensivement audité le code du protocole IBC (Inter Blockchain Communication) permettant la communication cross-chain. 

Finalement le 13 octobre, ces derniers ont dévoilé avoir décelé une vulnérabilité critique dans le code de l’IBC. Par conséquent, cette faille impacte l’ensemble des blockchains Cosmos ayant activé l’IBC. 

« Nous avons découvert une vulnérabilité de sécurité critique qui affecte toutes les chaînes Cosmos compatibles IBC, pour toutes les versions d’IBC. Des mesures ont déjà été prises pour s’assurer que toutes les principales chaînes publiques compatibles avec l’IBC ont été corrigées. »

Bien que les principales blockchains utilisant l’IBC aient été corrigées, les équipes de Cosmos invitent les développeurs de chaînes qui n’ont pas été mises à jour à utiliser le patch du CosmosSDK v0.46.3. 

Pour le moment, aucun détail précis sur la faille critique découverte n’a été dévoilé. Ces détails devraient être dévoilés dans les semaines à venir, une fois que cela ne mettra pas à risque des écosystèmes entiers. 

De son côté, la BNB Smart Chain a déployé le hard fork Moran pour mitiger la faille. Celui-ci comporte une correction de la vulnérabilité ainsi que plusieurs ajouts pour éviter qu’un tel évènement se reproduise. 

Pleine de promesses, la DeFi est dans sa prime enfance et commet encore quelques faux pas retentissants. Il n’y a pas 36 manières de protéger vos cryptomonnaies ! Gardez-les bien à l’abri sur un portefeuille Ledger. Frais de ports offerts (lien commercial).

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.

Recevez un condensé d'information chaque jour