Des protocoles mal finalisés – Les attaques sur les protocoles de la finance décentralisée (DeFi) se suivent et se ressemblent. Une fois de plus, c’est une faille dans le smart contract du projet BurgerSwap, combinée à un flash loan, qui a permis à un petit malin de faire le casse du siècle et devenir riche instantanément… ou presque.
Des millions de dollars de cryptos siphonnés
C’est la cata du côté des projets de la finance décentralisée sur la Binance Smart Chain (BSC). Un cinquième (oui, cinquième) projet DeFi vient de subir l’exploitation d’une faille le 28 mai 2021. Après PancakeBunny, bEarn, Bogged Finance et AutoShark il y a à peine quelques jours, c’est le DEX BurgerSwap qui s’est fait piller ses pools de liquidités de crypto-actifs.
Selon l’analyste Igor Igamberdiev de The Block Research, qui détaille l’attaque sur son compte Twitter, c’est un total de 7,2 millions de dollars de cryptos qui ont été volés, en l’espace de 14 transactions. De quoi assurer la prospérité à l’attaquant qui a réussi ce petit tour de passe passe !
Le vol a majoritairement porté sur les tokens BURGER du projet (4,2 millions de dollars au total), mais aussi sur des BNB (1,6 millions de dollars), et sur le stablecoin USDT (1,4 millions de dollars).
Tout s’est joué… à une ligne !
Manifestement l’attaque a été rendue possible à cause d’une seule ligne de code manquante dans le smart contract du protocole, qui a permis de combiner deux flash loans :
« L’exploitation de faille s’est produite parce que l’attaquant pouvait re-rentrer et effectuer un deuxième échange (swap) avant que les réserves, qui sont utilisées pour calculer le nombre de tokens dans les échanges, ne soient mises à jour. »
Selon un tweet de Hayden Adams, fondateur du DEX Uniswap, BurgerSwap a fait un mauvais copier-coller du code d’Uniswap V2, où il manquait cette ligne de codé clé qui a permis au pirate nouveau riche d’effectuer deux transactions simultanées là où il aurait dû pouvoir n’en faire qu’une à la fois.
Sale temps sur la Binance Smart Chain, qui connait la même période de hacks à la chaîne de protocoles DeFi qu’avait connu le réseau Ethereum précédemment. La rapidité est trop souvent confondue avec la précipitation par ces protocoles de la finance décentralisée, ce qui ne peut qu’avoir des conséquences fâcheuses, étant donné les millions de dollars de crypto-actifs qui y sont placés.
