Thorchain (encore) pillé de 8 millions en cryptomonnaies – Le hackeur fait la morale
Nouveau dicton DeFi : jamais un sans deux – Il y a un peu moins de deux semaines, le protocole ThorChain (RUNE) était la cible d’une attaque entrainant la perte de 5 millions de dollars. Malheureusement, le protocole vient d’être frappé par une seconde attaque, encore plus dévastatrice que la première.
La première attaque de THORChain
Dans la nuit du 15 au 16 juillet dernier, le protocole de liquidité cross chain Thorchain a été la cible d’une attaque visant les pools déployées sur Ethereum. Au total, l’attaquant s’en est sorti avec un butin d’un peu moins de 5 millions de dollars en ETH.
En pratique, une faille était présente dans le nœud Bitfröst Ethereum, permettant d’effectuer les transferts de liquidité d’une chaine à l’autre.
Par la suite, le bug a été résolu et les fonds remboursés via le fonds de trésorerie du protocole. En parallèle, les développeurs ont tenté de contacter l’attaquant pour lui demander de restituer les fonds en échange d’une récompense pour avoir identifié le bug, sans succès. En outre, les équipes du protocole ont annoncé accélérer les audits de l’ensemble de leurs contrats.
La seconde attaque : 8 millions dérobés
Malheureusement, le répit n’aura été que de courte durée pour les équipes du protocole. Ainsi, le 26 juillet dernier, le protocole a été victime d’une seconde attaque, cette fois-ci bien plus dévastatrice en termes de pertes.
Une fois de plus, c’est le nœud Bitfröst Ethereum qui a été la cible de l’attaque. D’après les informations rapportées par le média spécialisé Rekt, l’attaque s’est déroulée en cinq actes :
- L’attaquant a créé un faux routeur, puis a déclenché un évènement de dépôt en envoyant des ETH.
- Celui-ci a ensuite passé une petite quantité d’ETH via la fonction returnVaultAssets(), cependant le routeur était défini comme un Asgard vault, un nœud censé détenir les fonds des nœuds opérateurs.
- De son côté, le vrai routeur Thorchain a transféré des ETH vers le faux Asgard Vault.
- Cela a créé un faux évènement de dépôt contenant un mémo malveillant.
- Le nœud Bitfröst ETH a quant à lui intercepté cet évènement comme un dépôt normal et l’a remboursé à l’attaquant en raison d’une mauvaise définition du mémo.
Résultat, l’attaquant a réussi à extraire l’équivalent de 8 millions de dollars des pools de liquidité, augmentant la somme totale perdue par le protocole à plus de 13 millions de dollars en seulement deux semaines.
Les fonds dérobés se décomposent de la manière suivante :
- 966,62 ALCX ;
- 20 866 664,53 XRUNE ;
- 1 672 794,01 USDC ;
- 56 104 SUSHI ;
- 6,91 YFI ;
- 990 137,46 USDT.
Quand l’attaquant fait la leçon
En plus d’avoir dérobé les fonds, l’attaquant a laissé une note à destination des développeurs. Ainsi, ce dernier explique qu’il aurait pu dérober encore plus de fonds s’il l’avait souhaité.
“J’aurais pu prendre des ETH, BTC, LYC, BNB et BEP20s si j’avais attendu. Je voulais donner une leçon en minimisant les dommages.”
Dans la suite de son message, l’attaquant explique que plusieurs problèmes critiques sont présents dans le code du protocole. Par ailleurs, ce dernier rappelle l’importance des audits qui ne sont pas optionnels et met en demeure les développeurs de mettre le protocole en pause tant que lesdits audits n’auront pas été réalisés.
“Plusieurs problèmes critiques. Une prime VAR de 10% aurait évité cela. Désactivez le protocole jusqu’à ce que les audits soient terminés. Les audits ne sont pas une bonne chose à avoir. Ne pas précipiter un code qui contrôle 9 chiffres.”
En effet, les audits du protocole sont en cours, et pourtant celui-ci gère déjà plusieurs millions de dollars.
Sans surprise, le cours du token RUNE, le jeton propre à Thorchain, a vu son cours diminuer de 15% à la suite de l’attaque.
Dans son allocution lors de l’ETHCC de Paris, Vitalik Buterin a exprimé son souhait de voir Ethereum évoluer au-delà de la DeFi. Une volonté compréhensible, mais bien loin des réalités du protocole. En effet, avant de créer de nouvelles applications, l’écosystème devrait se pencher sur la mise en place de standard de sécurité, afin d’éviter que les hacks continuent de ternir son image.