Hack crypto sur SafeMoon : une faille à 9 millions de dollars détectée par un white hat
SafeMoon pas si safe – SafeMoon est un projet lancé en mars 2021 et fut l’un des premiers reflective tokens. Malheureusement, une faille a été exploitée dans le protocole, entraînant la perte de 9 millions de dollars.
Hack SafeMoon : 9 millions de dollars dérobés
Le 29 mars, John Karony, le CEO de SafeMoon a annoncé à la communauté que le protocole avait été victime d’une attaque la veille.
« Comme vous le savez peut-être, le mardi 28 mars, une pool de liquidités de SafeMoon a été compromise. Nous avons pris des mesures rapides pour résoudre la situation et protéger notre communauté. Je tiens à préciser que notre DEX est sûr. Cela a finalement affecté la pool SFM:BNB. »
Dans les heures qui ont suivi l’incident, les équipes de SafeMoon se sont empressées de corriger la vulnérabilité. Selon les informations rapportées par PeckShield, il semblerait qu’une mise à jour du smart contract ait introduit la faille.
Cette faille a permis à l’attaquant de drainer près de 9 millions de dollars dans la pool SFM/BNB. Pour ce faire, il aurait profité d’un bug lui permettant de retirer massivement des jetons SFM de la pool. Ce retrait massif a entraîné une hausse artificielle du prix dont le hacker a tiré profit pour revendre les jetons. Évidemment, cette vente massive a entraîné une chute du cours d’environ 40%.
Un white hat à l’origine du hack
Quelques heures après le hack, il semblerait que le hacker ait entrepris d’entrer en contact avec les équipes de SafeMoon. Ainsi, ce dernier a contacté les équipes de SafeMoon via un message on-chain.
« Hé, détendez-vous, nous avons accidentellement mené une attaque frontrun contre vous, nous aimerions vous rendre le fonds, établissez un canal de communication sécurisé, parlons-en. »
En parallèle, le hacker a transféré 4 000 BNB, soit plus de 1,2 million de dollars vers une seconde adresse. Désormais, il semblerait que la balle soit dans le camp des équipes de SafeMoon, qui ont été invitées à ouvrir un canal de communication avec le hacker.
Immuabilité des smart contracts : le débat se relance
Suite à cette faille introduite via une mise à jour, de nombreux internautes ont relancé le débat de l’immuabilité des smart contracts.
Initialement, les smart contracts étaient immuables, à savoir qu’il n’était pas possible de les modifier une fois déployés.
Cette immuabilité renforce la confiance des utilisateurs dans l’application décentralisée, car elle élimine les risques d’ingérence et de manipulation.
Cependant, suite à de nombreux bugs, notamment celui de The DAO, de plus en plus de protocoles se sont basés sur des contrats évolutifs, avec l’utilisation de smart contrats dits proxy. Cette nouvelle manière de faire permet notamment de corriger les problèmes en cas d’erreurs de programmation.
Toutefois, comme nous pouvons le voir avec SafeMoon, la possibilité de mettre à jour un smart contract peut engendrer des problèmes de sécurité. En effet, elle ouvre la porte à des modifications malveillantes ou non désirées.
Espérons toutefois pour les utilisateurs lésés qu’un accord sera trouvé avec le hacker. À l’instar de la situation rencontrée par Euler Finance, qui est en passe de se faire rembourser les 190 millions de dollars dérobés.