Un de plus – Dans les cryptos, on ne prend pas de RTT, y compris pour les moins bien intentionnés d’entre nous. Phishing, rugs et hacks continuent, même au beau milieu d’un marché baissier. Cette fois, c’est la blockchain Harmony (ONE) qui est visée. En espérant que cela ne devienne pas le tube de l’été. Découvert dans la nuit, ce hack a été annoncé et exposé par l’équipe, qui a dévoilé les premiers éléments dont elle dispose.
Le bridge est une solution qui prend de plus en plus d’ampleur. Outil mis en place afin de faire communiquer les blockchains entre elles (transférer des fonds de l’une à l’autre). Alors que l’interopérabilité faisait partie des mots-clés liés au narratif du cycle précédant, les ponts sont devenus essentiels.
Ils permettent en effet de transférer des fonds (ou plutôt leur représentation) sur une autre blockchain. Les différentes chaînes de blocs ont des langages et processus de sécurisation des transactions différents. Cela complique largement la fusion des deux registres de compte répertoriant les échanges de chacune des deux blockchains. Les bridges sont donc la solution pour transférer la valeur liée à un jeton X d’une blockchain A vers une blockchain B.
Sans entrer dans les détails techniques, les « entrées » de ces ponts hébergent de ce fait de très grosses sommes de jetons. Si le token importé n’est pas natif, il est mis sous séquestre à l’entrée du bridge. L’importateur se voit remettre un jeton (utilisable sur la chaîne). Ce token représente la valeur du jeton importé (non utilisable sur la chaîne). C’est pourquoi les bridges attirent l’attention des hackers malveillants. Solana en a fait les frais à l’époque, en évitant de près la catastrophe…
On peut résumer cela ainsi : un touriste souhaite passer la journée dans un parc d’attraction-casino qui se trouve sur une île. Le seul moyen d’y accéder est un pont. De plus, ses billets ne sont pas acceptés sur l’île. Il doit donc les échanger contre les jetons adéquats pour entrer et s’amuser. Jetons qu’on lui échangera volontiers (1 billet pour 1 jeton) contre les billets à sa sortie. La journée se passe bien, jusqu’au moment de ressortir du casino avec ses gains (ou ses pertes). L’accueil le prévient qu’il n’y a plus assez de liquidités dans la caisse enregistreuse pour honorer l’échange 1 pour 1.
Toutes ressemblances entre le parc d’attraction-casino sur une île et les montagnes russes de la DeFi sont (presque) totalement fortuites.
>> Jouez la sécurité, inscrivez-vous sur FTX la référence des exchanges crypto (lien affilié) <<
L’équipe d’Harmony Protocol a identifié la nuit dernière une faille dans son pont vers Ethereum, Horizon.
Après la révélation du vol de 100 millions de dollars, le compte Twitter d’Harmony a partagé l’adresse frauduleuse. On remarque alors qu’il a eu lieu depuis Harmony vers Ethereum. Le protocole précise ensuite que le pont BTC <=> ONE (trustless, à la différence de celui d’ETH) n’est pas concerné par ce hack. En effet, ce dernier n’est pas trustless du fait de la présence d’un portefeuille multisig ayant le contrôle sur le pont.
Ils ont également signalé le bridge-jacking aux différents exchanges afin qu’ils bloquent toute transaction passant par le wallet identifié (grâce à Etherscan).
Si l’équipe n’a pas encore donné d’explications concrètes sur le déroulement du hack, certains internautes ont commencé à rassembler des éléments. Le Bridge Horizon n’est pas géré exclusivement par smart contract. Ce dernier peut être révoqué par un wallet multisignature qui, à lui seul, peut altérer le code.
C’est là que le hacker a frappé (pour approfondir sur le sujet du mutlisig avec l’exemple Polygon).
Rugdoc.io signale en effet que le voleur a réussi à changer le nombre de signatures nécessaires pour modifier le code. Une fois les règles changées à son avantage, il a toutes les autorisations pour siphonner le pont de ses précieux ETH. Ces Ethers appartiennent aux « touristes de passage au casino ».
Etherscan indique que le portefeuille a ainsi drainé quelques 85 860 ETH (98 millions de $ au cours actuel). Le wallet en question est désormais clairement identifié comme étant « l’Horizon Bridge Exploiter ».
Les faiblesses liées à cette gestion du multisig garant du bridge ETH avaient été identifiées il y a quelques semaines par un internaute ayant creusé la documentation et l’architecture de celui-ci. Une publication sans grand écho ni réaction… jusqu’à aujourd’hui.
Bien que les contours du vol commencent à se préciser, toute la lumière n’est pas encore faite sur l’étendue des dégâts. L’équipe d’Harmony assure être sur le pont pour colmater la brèche et stopper l’hémorragie. Affaire à suivre.
Restez loin des spammeurs et escrocs de tout poils, fuyez comme la peste les propositions trop belles pour être vraies et prenez l’habitude de faire preuve d’une saine méfiance. En revanche, apprenez également à accorder une confiance raisonnable aux acteurs respectables et reconnus de l’écosystème. La plateforme FTX rentre sans l’ombre d’un doute dans cette seconde catégorie. Venez acquérir et trader vos premiers bitcoins et autres cryptomonnaies en vous inscrivant sur FTX. Vous y bénéficierez d’une réduction à vie sur vos frais de transactions (lien affilié).
Enfant d’internet, j’essaie de me coucher chaque soir moins bête que la veille, notamment en observant la blockchain et ses acteurs. Je me réjouis de partager mes découvertes dans cet écosystème fascinant et avant-gardiste dès que j’en ai l’occasion : avant j’écrivais dans mon journal, maintenant j’écris dans le vôtre !
Pour aller plus loin
Entrez dans la cour des grands du trading de cryptos : nos astuces pour performer sur FTX
Afin de vous familiariser avec le trading de produits dérivés, nous vous proposons une entrevue complète de FTX et son interface de trading. Rappel : le trading comporte des risques importants, et vous pouvez perdre la totalité de votre capital. Cet article est conçu dans un but éducatif, et ne constitue en aucun cas un … Continued
Dans la même catégorie
Recevez un condensé d'information chaque jour
Suivant
Gratuit
recevez votre guide PDF complet
Comment débuter dans les cryptos en 2022
Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.
Cette option doit être activée à tout moment afin que nous puissions enregistrer vos préférences pour les réglages de cookie.
Si vous désactivez ce cookie, nous ne pourrons pas enregistrer vos préférences. Cela signifie que chaque fois que vous visitez ce site, vous devrez activer ou désactiver à nouveau les cookies.
Ce site utilise Google Analytics pour collecter des informations anonymes telles que le nombre de visiteurs du site et les pages les plus populaires.
Garder ce cookie activé nous aide à améliorer notre site Web.
Veuillez activer d’abord les cookies strictement nécessaires pour que nous puissions enregistrer vos préférences !