Il vole 1,7 million de $ de cryptomonnaies en un clic grâce à un bug stupide

Même jour, différent hack – Les protocoles cryptos (bridge, DeFi) sont les cibles régulières des hackeurs, qui ne chôment pas, même l’été. Les développeurs de smart contracts aussi troués que du gruyère, ne chôment pas non plus. De grosses erreurs dans le code laissent certains protocoles en proie a des attaques improbables. Après le hack de Nomad (190 millions $), voici le Reaper Farm, le faucheur fauché.

C’est l’histoire d’un contract pas très smart

La firme d’audit de smart contract Paladin a révélé il y a quelques heures sur Twitter un nouveau hack dans l’écosystème de la finance décentralisée (DeFi). Cette fois c’est Reaper Farm qui a vu plus d’1,7 millions de dollars siphonnés d’après les premières estimations.

Bien que cette somme soit impressionnante, elle paraît négligeable comparée aux autres hacks récents. Ce qui ne le rend pas moins grave bien entendu. Mais la réelle gravité de la situation repose sur l’impensable faiblesse dans le code du smart contract des coffres forts Multi Strategy.

En effet, d’après Paladin le pirate a réussi à se faire passer pour le receveur légitime des retraits. Ce hack a été permis par l’utilisation du standard de jetons ERC4626. Il permet d’autoriser d’autres utilisateurs à retirer des fonds. Il a exploité un angle mort laissé par l’équipe de la plateforme.

>> Courrez vite acheter vos premiers bitcoins sur Bitstack … et gagnez 5€ de BTC avec le code JDC5 (lien commercial ) >>

L’équipe réagit vite et bien

Le compte twitter officiel de Reaper Farm a réagi en fin d’après-midi, soit moins de moins de vingt-quatre heures après avoir repéré l’attaque. L’équipe a publié un post-mortem, égrainant les premiers détails et s’engageant d’emblée à rembourser les utilisateurs lésés.

L’équipe a réussi à sauver 10% des fonds bloqués sur le smart contract Multi Strategy… en exploitant ellemêmes la faille. C’était peut-être la meilleure option une fois le hack identifié. Une initiative louable, mais malheureusement assez vaine.

Le standard de jeton ERC4626 en question dans l’attaque

Les développeurs reconnaissent leur responsabilité dans cette attaque, liée à un manque de vigilance interne. D’après @moonsdontburn (image ci-dessus), trois lignes de codes auraient pourtant fait l’affaire.

Un manque d’audits externes est cité après l’implémentation de certaines fonctionnalités et notamment celle de l’ERC-4626. Après un changement de dernière minute (avec des audits réalisés pour l’ancien modèle technico-économique), le nécessaire n’a pas été fait en termes de sécurité.

De son côté le pirate a envoyé des fonds vers des bridges Binance Smart Chain et Ethereum. Il a ensuite mixé les jetons dérobés afin de brouiller les pistes sur la blockchain. L’équipe annonce qu’elle va multiplier les communications et qu’un plan de remboursement sera établi après des discussions internes.

Épargnez en cryptos sans craindre les fluctuations des cours ou les hacks. Pour acheter du Bitcoin sans même vous en rendre compte, et en toute sécurité, inscrivez-vous sur Bitstack… et gagnez gratuitement 5€ de BTC grâce au code JDC5 en lançant votre première stratégie (lien commercial) !

Jeff Makvs

Enfant d’internet, j’essaie de me coucher chaque soir moins bête que la veille, notamment en observant la blockchain et ses acteurs. Je me réjouis de partager mes découvertes dans cet écosystème fascinant et avant-gardiste dès que j’en ai l’occasion : avant j’écrivais dans mon journal, maintenant j’écris dans le vôtre !

Recevez un condensé d'information chaque jour