Le protocole bZx (encore) dépouillé de 55 millions – Le running gag qui ne fait plus rire personne

bZx, le protocole malchanceux – En l’espace d’un an, la taille de l’écosystème DeFi a augmenté d’un facteur 10. Celui-ci compte désormais plus de 270 milliards de dollars, dispersés à travers les divers protocoles qui le composent. Face à un butin pareil, les hackers malveillants redoublent d’ingéniosité pour faire main basse sur les fonds.

bZx victime d’un nouveau hack

Initialement lancé sur Ethereum (ETH), le protocole bZx propose divers services, tels le prêt et l’épargne ainsi qu’une plateforme d’échange décentralisée. Par la suite, au mois de mai, bZx a migré son projet sur la Binance Smart Chain (BSC) et Polygon (MATIC), face à la multiplication des blockchains dans l’écosystème DeFi.

Malheureusement, le vendredi 5 novembre, les équipes du projet ont annoncé que les versions Polygon et BSC du protocole avaient été compromises.

« Il y a 1 h, il semble que la clé privée contrôlant les déploiements sur Polygon et sur la BSC ait été compromise, entraînant une perte de fonds. Le déploiement sur Ethereum est sous le contrôle du DAO et n’a pas été affecté. Nous fournirons bientôt d’autres mises à jour. »

Annonce de bZx
Publication Twitter bZx - la clé privée contrôlant les déploiements sur Polygon et sur la BSC a été compromise
Publication de bZx – Source : Twitter

Au total, l’attaquant a réussi à siphonner l’équivalent de 55 millions de dollars dans les pools du protocole.

>> Rentrez en avant-première sur des projets prometteurs sur Ascendex <<

Une attaque phishing a eu raison de bZx

Les hackers malveillants disposent d’une multitude de possibilités pour attaquer les protocoles DeFi. La plupart du temps, ces derniers profitent d’une faille dans un smart contract pour utiliser le protocole à leur avantage.

Dans notre cas, l’attaquant a réussi à dérober les fonds grâce à une attaque phishing. En effet, ce dernier a envoyé un e-mail contenant une pièce jointe vérolée à l’un des développeurs de bZx.

« Un développeur de bZx a reçu un e-mail de phishing sur son ordinateur personnel, contenant une macro malveillante dans un document Word déguisé en pièce jointe d’un courriel légitime, qui a ensuite exécuté un script sur son ordinateur personnel. Cela a conduit à la compromission de sa phrase mnémonique personnelle de portefeuille. »

Post mortem de bZx

Malheureusement, la gouvernance des versions Polygon et BSC du protocole n’a pas encore été transférée à un DAO. Résultat : grâce à la clé privée dérobée, l’attaquant a été en mesure de modifier les contrats déployés.

Rapidement, les équipes de bZx ont été rejointes par d’autres développeurs DeFi dans la traque de l’attaquant. Cela leur a permis d’identifier plusieurs adresses IP, supposément liées au hacker.

Rapidement, les équipes de bZx ont été rejointes par d'autres développeurs DeFi dans la traque de l'attaquant. Cela leur a permis d'identifier plusieurs adresses IP, supposément liées au hacker.
Adresses IP communiquées par bZx – Source : bZx

En parallèle, bZx a contacté Circle et Tether afin qu’ils gèlent les USDC et USDT détenu par l’attaquant, permettant de réduire quelque peu les dégâts de l’attaque.

Les hacks de bZx cesseront-ils un jour ?

Cette nouvelle attaque arrive comme un cheveu sur la soupe pour bZx. En effet, le protocole n’en est malheureusement pas à sa première déconvenue. En février 2020, le protocole avait ainsi essuyé la perte de 645 000 dollars suite à une attaque par manipulation d’oracles. Une seconde attaque a frappé le protocole au mois de septembre, avec cette fois-ci 8 millions de dollars de pertes à déplorer.

Au total, le protocole comptabilise plus de 63 millions de dollars de pertes à travers les 3 attaques.

L’année 2021 a été autant la meilleure que la pire année de la DeFi. Malgré un essor sans précédent, les hacks n’ont jamais été aussi nombreux. Au total, 680 millions de dollars ont été dérobés aux protocoles DeFi en 2021.

Si vous êtes parmi les 400 premiers à parcourir ces lignes, ne ratez pas l’occasion de récupérer un airdrop de 5$ offerts pour toute inscription sur la célèbre plateforme Ascendex ! Cette prime de bienvenue se cumule avec une réduction de 10% sur vos frais de trading !  (lien affilié, sous réserve de trader au moins 100$, voir conditions sur site).

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.