Des magouilles sur Arbitrum – Ede Finance, un protocole de finance décentralisée basé sur Arbitrum, se retrouve aujourd’hui au cœur d’une controverse. En effet, celui-ci a été la cible d’une attaque entraînant la perte de 580 000 dollars. Aussi surprenant que cela puisse paraître, le hacker est le gentil de cette histoire.
Hack sur Ede Finance : 580 000$ dérobés
Le 30 mai, l’internaute @resdegen, a alerté sur Twitter d’une attaque en cours ciblant le protocole Ede Finance. Ainsi, le protocole aurait été victime d’une attaque causant une perte d’environ 580 000 dollars.
Rapidement, l’entreprise PeckShield s’est emparée de l’affaire. Celle-ci a identifié un message publié par le hacker sur la blockchain. Ce message laisse entendre des pratiques douteuses de la part des développeurs d’Ede Finance.
« Les développeurs ont mis en place une porte dérobée qui leur permettait de liquider de force toutes les positions qu’ils souhaitaient. Cette activité malveillante consistait à signer intentionnellement des prix incorrects afin de manipuler les positions des utilisateurs et de voler leurs fonds. Pour mettre un terme à cette attaque contre les utilisateurs, un chapeau blanc a été mis en place pour faire la lumière sur ce problème. »
Rapidement, il est devenu évident que le hacker en question était un white hat, à savoir un hacker éthique agissant pour le bien.
>> Jouez la sécurité ! Inscrivez-vous sur Binance, et économisez 10% de frais (lien commercial) <<
Des allégations inquiétantes
L’attaquant a affirmé que l’équipe en charge du projet disposait d’un accès caché. Cet accès permettrait à l’équipe de liquider n’importe quel trade d’un utilisateur sur leur protocole soi-disant décentralisé.
De plus, il aurait déclaré que cette activité impliquait l’utilisation de prix fictifs et aurait eu pour but de dérober les fonds des utilisateurs.
L’attaquant a déclaré que si les développeurs admettaient ces pratiques, il restituerait les fonds, en gardant toutefois une prime de bug bounty de 10%. Il a également indiqué qu’il existait d’autres vulnérabilités au sein du système.
Une réponse en demi-teinte
Face à ces accusations, l’équipe d’Ede Finance a finalement reconnu avoir manipulé les prix. Dans leur déclaration, ils expliquent :
« Nous reconnaissons avoir pris une décision malavisée de manipuler le prix. Cependant, notre intention était de mettre sur liste noire ceux qui avaient précédemment exploité le système, sachant que toutes les transactions sont enregistrées sur la blockchain. Nous n’avons pas cherché à détourner les fonds des utilisateurs, car cela laisserait une trace. »
Suite à cette révélation, l’équipe a annoncé qu’elle supprimerait le contrat intelligent permettant cette manipulation. Elle a également accepté les conditions du hacker concernant la prime et a affirmé qu’elle utiliserait ses propres fonds pour couvrir les pertes subies par les utilisateurs.
En guise de récompense pour la mise en évidence des autres vulnérabilités, l’équipe a proposé au hacker éthique 5% de l’allocation de tokens de l’équipe, sous réserve de périodes de blocage.
En parallèle à ces événements, PeckShield a fait remarquer que le projet avait été audité. Cependant, en tout et pour tout, l’audit n’a duré que trois jours. Une durée clairement insuffisante pour garantir la sécurité du protocole.
Une fois de plus, cette mésaventure met en évidence l’importance d’audit approfondie. En effet, une écrasante majorité des hacks DeFi sont rendus possibles par l’absence ou la piètre qualité des audits.
En 2022, 3,8 milliards de dollars ont été dérobés aux protocoles DeFi. Une situation qui semble se calmer en ce début d’année, avec une réduction de 70% des attaques par rapport au dernier trimestre de 2022.
Les hacks sont des aléas malheureux, mais pas des fatalités. Besoin de tranquillité d’esprit pour vos cryptos ? Inscrivez-vous vite sur la plateforme Binance, LA référence absolue du secteur, et économisez 10 % sur vos frais de trading en suivant ce lien (lien commercial).
