Bancor (BNT) veut proposer sa blockchain comme plateforme pour des échanges et une finance qui soient décentralisés (DEX et DeFi). Un peu moins de 2 ans après un premier souci, le smart contract qui régit les transactions sur Bancor a de nouveau révélé une faille exploitable pour siphonner les fonds. Explications.
Une faille détectée dans le smart contract de Bancor
La première alerte a été donnée directement par l’équipe de développement du projet Bancor, sur leur compte Twitter. Le matin du 18 juin, une vulnérabilité a été découverte dans la nouvelle version (v0.6) du smart contract qui permet le fonctionnement de BancorNetwork. Cette mise à jour avait été implantée moins de 2 jours auparavant, le 16 juin.
Last night at 12:00AM GMT, a vulnerability was discovered in a new version of the BancorNetwork v0.6 smart contract deployed on June 16 2020.
All user funds are safe.
We have deployed a new version of the BancorNetwork contract that fixes the vulnerability.
— Bancor (@Bancor) June 18, 2020
Les derniers éléments se veulent rassurants : le contrat en question a été corrigé pour pallier cette vulnérabilité, et l’équipe de Bancor affirme que les fonds de ses utilisateurs sont en sécurité.
Pourtant, près d’un demi-million de dollars de cryptomonnaies ont bien été extraites à l’aide de cette vulnérabilité. Mais ce “hacker” l’a fait pour la bonne cause, comme nous allons le voir.
460 000 $ de fonds “détournés” par Bancor, en prévention
En fait, le pirate en question a été commandité par Bancor en personne, pour mettre en sécurité les fonds susceptibles d’être volés grâce à la faille du contrat intelligent.
Dans un second tweet, l’équipe de Bancor explique en effet que – dès qu’elle a réalisé l’existence de la vulnérabilité – elle a décidé d’exploiter la faille pour sécuriser 460 000 $ de cryptomonnaies qui étaient exposées.
Mais les cryptos sont-elles toutes sauves ? Ce n’est pas sûr pour l’instant, le compte Twitter de Hex Capital (@Hex_Capital) affirme en fait que 100 000 $ de cryptoactifs auraient aussi été drainés vers une adresse qui n’appartiendrait pas au “white hat” (gentil pirate) de Bancor.
Not all user funds were migrated safely. See this tx by a non-Bancor controlled address draining nearly $100k of user funds in BNT https://t.co/xZeUNvcZ9G
— Hex Capital (@Hex_Capital) June 18, 2020
En tout les cas, ce nouveau problème dans le smart contract ressemble beaucoup au précédent en juillet 2018. En effet, à l’époque, 23,5 millions de dollars de cryptos avaient été volées. 10 millions de dollars avaient été récupérés rapidement, grâce à l’intervention de Bancor.
Toutefois, cela démontre une certaine capacité d’action, et donc de centralisation, de la part de Bancor sur les actifs de ses utilisateurs. Tout cela, mêlé à la crainte qu’une faille se cache encore dans la dernière mise à jour, a provoqué un véritable exode de fonds par les utilisateurs inquiets.
Ainsi, en l’espace de 2 jours et selon les données de DefiPulse, les fonds engagés sur la plateforme de Bancor ont chuté de 19 millions à 14,3 millions $, soit une baisse de près de -25% en 48h.
L’équipe de Bancor promet un nouveau point complet sur la situation sous peu. Même s’il s’avère qu’aucun fonds n’ont été réellement perdus/volés, la confiance dans les smart contracts du BancorNetwork risque de prendre (à nouveau) un mauvais coup.