Du scam venant de l’intérieur ? – Le 28 avril, la plateforme Uranium.finance a été la cible d’un hack malveillant, lors de sa migration vers la V2.1. Quelques heures après les faits, les premiers soupçons se portent sur un membre de l’équipe du projet. 

50 millions de dollars envolés

Mercredi 28 avril, les équipes du protocole DeFi Uranium.finance ont averti les utilisateurs qu’une attaque avait ciblé le protocole et entraîné la perte de 50 millions de dollars en cryptomonnaies. 

Uranium est un protocole DeFi évoluant sur la Binance Smart Chain. Lancé le 16 avril dernier, cet Automated Market Maker (AMM) est un fork d’Uniswap V2, qui proposait la distribution de dividendes quotidiennes aux détenteurs du jeton U92. 

“Dans nos pools et nos fermes, vous êtes récompensés avec le jeton U92, comme tout autre échange décentralisé. La différence est que nous avons créé un deuxième jeton, le pendant de l’U92 : l’U235. Détenir ce jeton sur votre portefeuille fait de vous un investisseur de notre AMM, vous faisant gagner des dividendes en BNB et BUSD à chaque bloc.”

Lle site officiel du protocole

Malheureusement pour le protocole, celui-ci a été la cible d’un hack lors de la migration vers sa nouvelle version V2.1. 

D’après les recherches menées par Igor Igamberdiev, chercheur pour TheBlock, il semblerait qu’un bug était présent dans le contrat des paires de sa version 2.1. Ce bug permettait à quiconque qui interagissait avec le contrat de retirer l’ensemble des liquidités déposées dans ladite paire à cause d’une erreur dans le calcul dans la balance de la paire.  

Résultat : 50 millions de dollars en cryptomonnaies diverses telles que BTC, ETH, BUSD, USDT, BNB et autres, ont été drainés des pools. 

Aussitôt volé, aussitôt blanchi

Malheureusement pour les utilisateurs, l’attaquant s’est empressé de convertir la plupart des jetons en ETH. Ces derniers ont ensuite été transférés depuis la Binance Smart Chain vers Ethereum via le protocole inter-chaîne AnySwap. Une fois sur Ethereum, plus de 2 400 ETH ont été blanchis via le protocole de mixage Tornado Cash. 

L’adresse de l’attaquant détient encore l’équivalent de 37 millions de dollars en BNB et BUSD, ces derniers étant plus difficiles à blanchir sans avoir à repasser par Binance. 

Un membre de l’équipe suspecté d’être à l’origine du hack

Lors de ses recherches, Igor Igamberdiev suspectait déjà un délit d’initié, à savoir qu’une personne interne au protocole soit à l’origine du hack. En effet, Uranium a migré vers les contrats V2 suite à une première attaque qui s’est déroulée le 10 avril dernier. C’est à ce moment que la faille est apparue et celle-ci est restée présente jusqu’au 28 avril, date du passage à la V2.1. 

“Pour des raisons qui ne sont pas entièrement claires, l’équipe d’Uranium a décidé de mettre à jour le protocole à la version 2.1, et la migration des liquidités était censée commencer aujourd’hui (le 28). Le seul changement significatif de la nouvelle version est la correction du bug susmentionné.”

Igamberdiev

Ainsi, les équipes étaient probablement au courant du bug et ont tenté de le corriger, avant que celui-ci ne soit exploité. Point surprenant, le code source du contrat d’Uranium a été supprimé du GitHub. 

Cependant, selon un post publié par Baymax, un des administrateurs du canal Telegram du projet, la piste du délit d’initié est pour le moment privilégiée. 

“Il y a un total de 7 personnes dans Uranium qui connaissaient la faille. En dehors d’Uranium, ce sont les 3 auditeurs contractuels et leurs sous-consultants respectifs qui pourraient être au courant de cette faille. […] D’après les informations que nous avons recueillies auprès de la communauté, il semblerait que quelqu’un ait divulgué des informations qui auraient permis à des exploiteurs de découvrir nos vulnérabilités.”

Bien que la lumière n’ait pas encore été faite sur la personne à l’origine de l’attaque, l’étau semble se resserrer dangereusement. En attendant, les 50 millions de dollars sont envolés et irrécupérable pas les utilisateurs.