Ethereum : il vole 98 millions de $ en un clic – Le bridge Harmony s’effondre

Un de plus – Dans les cryptos, on ne prend pas de RTT, y compris pour les moins bien intentionnés d’entre nous. Phishing, rugs et hacks continuent, même au beau milieu d’un marché baissier. Cette fois, c’est la blockchain Harmony (ONE) qui est visée. En espérant que cela ne devienne pas le tube de l’été. Découvert dans la nuit, ce hack a été annoncé et exposé par l’équipe, qui a dévoilé les premiers éléments dont elle dispose.

Un pont pris pour cible, les rivages sont-ils sûrs ?

Le bridge est une solution qui prend de plus en plus d’ampleur. Outil mis en place afin de faire communiquer les blockchains entre elles (transférer des fonds de l’une à l’autre). Alors que l’interopérabilité faisait partie des mots-clés liés au narratif du cycle précédant, les ponts sont devenus essentiels.

Ils permettent en effet de transférer des fonds (ou plutôt leur représentation) sur une autre blockchain. Les différentes chaînes de blocs ont des langages et processus de sécurisation des transactions différents. Cela complique largement la fusion des deux registres de compte répertoriant les échanges de chacune des deux blockchains. Les bridges sont donc la solution pour transférer la valeur liée à un jeton X d’une blockchain A vers une blockchain B.

Hack du bridge Horizon d'Harmony. Près de 100 millions de $ dérobés

Sans entrer dans les détails techniques, les « entrées » de ces ponts hébergent de ce fait de très grosses sommes de jetons. Si le token importé n’est pas natif, il est mis sous séquestre à l’entrée du bridge. L’importateur se voit remettre un jeton (utilisable sur la chaîne). Ce token représente la valeur du jeton importé (non utilisable sur la chaîne). C’est pourquoi les bridges attirent l’attention des hackers malveillants. Solana en a fait les frais à l’époque, en évitant de près la catastrophe…

On peut résumer cela ainsi : un touriste souhaite passer la journée dans un parc d’attraction-casino qui se trouve sur une île. Le seul moyen d’y accéder est un pont. De plus, ses billets ne sont pas acceptés sur l’île. Il doit donc les échanger contre les jetons adéquats pour entrer et s’amuser. Jetons qu’on lui échangera volontiers (1 billet pour 1 jeton) contre les billets à sa sortie. La journée se passe bien, jusqu’au moment de ressortir du casino avec ses gains (ou ses pertes). L’accueil le prévient qu’il n’y a plus assez de liquidités dans la caisse enregistreuse pour honorer l’échange 1 pour 1.

Toutes ressemblances entre le parc d’attraction-casino sur une île et les montagnes russes de la DeFi sont (presque) totalement fortuites.

>> Exposez vous au Bitcoin sur Binance, 10% de réduction des frais avec ce lien (lien commercial) <<

Hack du Bridge Horizon – Un coup à 100 millions $

L’équipe d’Harmony Protocol a identifié la nuit dernière une faille dans son pont vers Ethereum, Horizon.

Tweet d'Harmony expliquant le hack dont elle a été victime
Tweet d’Harmony Protocol – Source : Twitter

Après la révélation du vol de 100 millions de dollars, le compte Twitter d’Harmony a partagé l’adresse frauduleuse. On remarque alors qu’il a eu lieu depuis Harmony vers Ethereum. Le protocole précise ensuite que le pont BTC <=> ONE (trustless, à la différence de celui d’ETH) n’est pas concerné par ce hack. En effet, ce dernier n’est pas trustless du fait de la présence d’un portefeuille multisig ayant le contrôle sur le pont.

Ils ont également signalé le bridge-jacking aux différents exchanges afin qu’ils bloquent toute transaction passant par le wallet identifié (grâce à Etherscan).

Les enquêteurs 3.0 eux aussi sur le pont

Si l’équipe n’a pas encore donné d’explications concrètes sur le déroulement du hack, certains internautes ont commencé à rassembler des éléments. Le Bridge Horizon n’est pas géré exclusivement par smart contract. Ce dernier peut être révoqué par un wallet multisignature qui, à lui seul, peut altérer le code.

C’est là que le hacker a frappé (pour approfondir sur le sujet du mutlisig avec l’exemple Polygon).

Rugdoc.eth explique que le voleur a pu changer les nombres de signatures pour réaliser son hack
Tweet de Rugdoc.io – Source Twitter

Rugdoc.io signale en effet que le voleur a réussi à changer le nombre de signatures nécessaires pour modifier le code. Une fois les règles changées à son avantage, il a toutes les autorisations pour siphonner le pont de ses précieux ETH. Ces Ethers appartiennent aux « touristes de passage au casino ».

Etherscan indique que le portefeuille a ainsi drainé quelques 85 860 ETH (98 millions de $ au cours actuel). Le wallet en question est désormais clairement identifié comme étant « l’Horizon Bridge Exploiter ».

Les faiblesses liées à cette gestion du multisig garant du bridge ETH avaient été identifiées il y a quelques semaines par un internaute ayant creusé la documentation et l’architecture de celui-ci. Une publication sans grand écho ni réaction… jusqu’à aujourd’hui.

Tweet de Ape dev expliquant que la faille exploitée avait été signalée, le hack aurait pu être évité.
Tweet de Ape Dev – Source : Twitter

Bien que les contours du vol commencent à se préciser, toute la lumière n’est pas encore faite sur l’étendue des dégâts. L’équipe d’Harmony assure être sur le pont pour colmater la brèche et stopper l’hémorragie. Affaire à suivre.

Luna est terrassée… Besoin de retrouver un environnement serein pour trader vos bitcoins ? Courez vous inscrire sur Binance, LA référence absolue des plateformes crypto. Vous économiserez 10% sur vos frais de trading en suivant ce lien (lien commercial).

Jeff Makvs

Enfant d’internet, j’essaie de me coucher chaque soir moins bête que la veille, notamment en observant la blockchain et ses acteurs. Je me réjouis de partager mes découvertes dans cet écosystème fascinant et avant-gardiste dès que j’en ai l’occasion : avant j’écrivais dans mon journal, maintenant j’écris dans le vôtre !