Hack Wormhole : une contre-attaque à 225 millions de dollars
Coup dur pour la décentralisation – En février 2022, le pont Wormhole était victime d’un hack à plus de 300 millions de dollars. La semaine dernière Oasis.app et Jump Crypto ont réussi à récupérer 225 millions de dollars. Toutefois, la manœuvre a entraîné de vifs débats.
Hack Wormhole : 225 millions de dollars récupérés
Wormhole est un pont DeFi qui permet de transférer des fonds entre Solana, Ethereum et d’autres blockchains. Le 2 février 2022, Wormhole a été victime d’un hack d’envergure.
En effet, un hacker a réussi à exploiter une faille dans le code. Celle-ci lui a permis de créer une infinité de jetons wETH sur Solana. Par la suite, il a rapatrié les jetons sur Ethereum, vidant de fait l’intégralité des pools du protocole.
Le 24 février dernier, les équipes d’Oasis.app ont dévoilé via une publication, avoir réussi à récupérer 225 millions de dollars provenant de l’attaque.
Tout a commencé le 21 février, lorsque la Haute Cour d’Angleterre et du Pays de Galles a ordonné à Oasis.app de mener une manœuvre permettant de récupérer une partie des fonds.
Ainsi, la possibilité de récupérer les fonds avait été mise en lumière par un groupe de white hat. Celui-ci a pris contact le 16 février avec les équipes d’Oasis.app.
« Ce qui s’est passé le 21 février 2023 n’a été possible qu’en raison d’une vulnérabilité inconnue jusqu’alors dans la conception de l’accès multisig de l’administrateur. »
En effet, les administrateurs d’Oasis.app ont pu utiliser la clé multisignature du protocole afin de saisir les fonds déposés par le hacker dans un coffre-fort sur Oasis.app.
Une fois les fonds saisis, ces derniers ont directement été envoyés sur un wallet contrôlé par l’entreprise Jump Crypto. L’entreprise ayant été mandatée par la Haute Cour d’Angleterre et du Pays de Galle.
>> Jouez la sécurité ! Inscrivez-vous sur Binance, et économisez 10% de frais (lien commercial) <<
Une manoeuvre qui fait grincer des dents
Bien que cela soit une victoire pour les utilisateurs lésés par le hack de février 2022, la manœuvre a donné lieu à de nombreux débats.
En effet, comme l’a souligné l’internaute @Chainyoda sur Twitter, cet événement pourrait bien avoir des conséquences désastreuses. Ainsi, celui-ci permet de créer un précédent qui permettrait aux tribunaux de forcer un protocole à effectuer certaines actions.
« Le piratage de Wormhole était mauvais pour la DeFi. La contre-exploitation est pire parce qu’elle établit un précédent dans les pays développés selon lequel les tribunaux peuvent forcer les équipes à [faire ce qui est nécessaire] au protocole. »
De son côté, Oasis a tenté de rassurer les utilisateurs en expliquant que ce type de manœuvre était une première :
« Il convient de noter qu’à aucun moment, que ce soit dans le passé ou aujourd’hui, les biens des utilisateurs n’ont été exposés à un risque d’accès par une partie non autorisée. »
Le problème des clés d’administration
L’écrasante majorité des protocoles DeFi disposent d’une clé d’administration. Celle-ci prend au mieux la forme d’une multisignature qui permet d’interagir avec un smart contract en tant qu’administrateur.
Comme expliqué par Oasis.app, ces clés sont mises en place pour protéger les utilisateurs en cas d’attaque.
« Nous insistons sur le fait que cet accès a été mis en place dans le seul but de protéger les actifs des utilisateurs en cas d’attaque potentielle. Il nous aurait permis d’agir rapidement pour corriger toute vulnérabilité qui nous aurait été révélée. »
Toutefois, ces clés admin engendrent un important problème de centralisation. De surcroît, leur présence permet à des administrations judiciaires de potentiellement forcer les développeurs d’un protocole à mener des actions, qu’elles soient justifiées ou non.
À l’inverse, un protocole qui ne dispose pas de clés d’administration va être bien plus résistant à toute forme de censure. En effet, les contrats qui le composent ne peuvent être altérés et sont de ce fait immuables.
En février dernier, le réseau Polygon avait été pointé du doigt pour ce même problème. Ainsi, celui-ci repose sur une multisignature à 8 parties. Cependant, les clés ont une distribution discutable qui pourrait permettre à Polygon de prendre le contrôle total du réseau.
Les hacks sont des aléas malheureux, mais pas une fatalité. Besoin de tranquillité d’esprit pour vos cryptos ? Inscrivez-vous vite sur la plateforme Binance, LA référence absolue du secteur, et économisez 10 % sur vos frais de trading en suivant ce lien (lien commercial).