Un scandale avant LE scandale ? – Plus besoin aujourd’hui de revenir sur le désastre de la chute de l’UST et du LUNA de Terra, tant l’histoire est désormais bien connue dans la cryptosphère. Mais quelques mois avant cet évènement cataclysmique, un autre est survenu sans que personne ne le remarque. L’équivalent de dizaines de millions de dollars a pourtant bel et bien été détourné sur Terra en octobre 2021.
Une faille dans un smart contract a (encore) permis de détourner une fortune
Après la perte de l’indexation sur le dollar du stablecoin TerrasUSD (USD) survenue le 9 mai 2022, ce dernier ne s’en est jamais remis, tout comme le LUNA. Alors qu’une tentative de renaissance de la blockchain de Terra vient d’avoir lieu, nous apprenons qu’une grave faille dans un smart contract de ce réseau a causé un important détournement de capitaux il y a près de 8 mois en arrière.
C’est l’utilisateur @FatManTerra sur Twitter qui a été le premier à repérer l’anomalie. Cette exploitation de faille s’est produite sur le contrat de Mirror Protocol le 8 octobre 2021.
L’attaquant a dans un premier temps envoyé 100 000 UST au contrat sensé verrouillé les dépôts de ce protocole. Le pirate a ensuite ouvert une position de trading au sein du protocole en mettant seulement 10 UST comme garantie. Il a alors enchaîné les prises de positions, qu’il a pu après déverrouiller en boucle, car une mauvaise programmation d’identification des positions dans Mirror Protocol ne l’en empêchait pas.
« En une seule transaction, l’attaquant a transformé 10 000 dollars en 4 300 000 dollars. Cette opération a été réalisée plusieurs fois, générant un total de plus de 30 millions de dollars. Tout cela semble passé complètement inaperçu de Terraform Labs et de l’équipe du protocole Mirror. C’est la première fois que cette attaque est révélée. »
>> Jouez la sécurité ! Inscrivez-vous sur Binance, et économisez 10% de frais (lien commercial) <<
Les analystes de BlockSec confirment le vol de 90 millions de dollars sur Terra
Comme mentionné ci-dessus, une des positions a même été dupliquée 437 fois, permettant de rapporter à elle seule un total de 4,3 millions d’UST (soit autant de dollars, à l’époque).
La société de cybersécurité BlockSec a confirmé cette exploitation de faille dans un rapport détaillé, corroborant tous les dires de FatManTerra sur Twitter. Au total, ce serait dans les 90 millions de dollars de cryptos qui auraient été récupérées via ce protocole sur Terra.
BlockSec ajoute que cette erreur de programmation aurait été « corrigée silencieusement » depuis, sans pour autant que l’équipe de Mirrot Protocol ait pris la peine de révéler l’attaque (si elle s’en était bien rendu compte avant la révélation de FatManTerra).
Une affaire qui rappelle celle du piratage de la plateforme Ronin du jeu NFT Axie Infinity en mars dernier. Cette exploitation de faille – qui a permis de détourner pour 650 millions de dollars – était resté sous silence un certain temps avant que des utilisateurs n’en remarquent les conséquences. Dans le présent hack, on peut se demander si l’attaquant a commis la fatale erreur de garder ses UST mal acquis. Car dans ce cas, ils ne valent à ce jour plus que 3 cents pièce, au lieu de 1 dollar.
Luna est terrassée… Besoin de retrouver un environnement serein pour trader vos bitcoins ? Courez vous inscrire sur Binance, LA référence absolue des plateformes crypto. Vous économiserez 10% sur vos frais de trading en suivant ce lien (lien commercial).
