Le protocole bZx (encore) dépouillé de 55 millions – Le running gag qui ne fait plus rire personne
bZx, le protocole malchanceux – En l’espace d’un an, la taille de l’écosystème DeFi a augmenté d’un facteur 10. Celui-ci compte désormais plus de 270 milliards de dollars, dispersés à travers les divers protocoles qui le composent. Face à un butin pareil, les hackers malveillants redoublent d’ingéniosité pour faire main basse sur les fonds.
bZx victime d’un nouveau hack
Initialement lancé sur Ethereum (ETH), le protocole bZx propose divers services, tels le prêt et l’épargne ainsi qu’une plateforme d’échange décentralisée. Par la suite, au mois de mai, bZx a migré son projet sur la Binance Smart Chain (BSC) et Polygon (MATIC), face à la multiplication des blockchains dans l’écosystème DeFi.
Malheureusement, le vendredi 5 novembre, les équipes du projet ont annoncé que les versions Polygon et BSC du protocole avaient été compromises.
« Il y a 1 h, il semble que la clé privée contrôlant les déploiements sur Polygon et sur la BSC ait été compromise, entraînant une perte de fonds. Le déploiement sur Ethereum est sous le contrôle du DAO et n’a pas été affecté. Nous fournirons bientôt d’autres mises à jour. »
Annonce de bZx
Au total, l’attaquant a réussi à siphonner l’équivalent de 55 millions de dollars dans les pools du protocole.
Une attaque phishing a eu raison de bZx
Les hackers malveillants disposent d’une multitude de possibilités pour attaquer les protocoles DeFi. La plupart du temps, ces derniers profitent d’une faille dans un smart contract pour utiliser le protocole à leur avantage.
Dans notre cas, l’attaquant a réussi à dérober les fonds grâce à une attaque phishing. En effet, ce dernier a envoyé un e-mail contenant une pièce jointe vérolée à l’un des développeurs de bZx.
« Un développeur de bZx a reçu un e-mail de phishing sur son ordinateur personnel, contenant une macro malveillante dans un document Word déguisé en pièce jointe d’un courriel légitime, qui a ensuite exécuté un script sur son ordinateur personnel. Cela a conduit à la compromission de sa phrase mnémonique personnelle de portefeuille. »
Post mortem de bZx
Malheureusement, la gouvernance des versions Polygon et BSC du protocole n’a pas encore été transférée à un DAO. Résultat : grâce à la clé privée dérobée, l’attaquant a été en mesure de modifier les contrats déployés.
Rapidement, les équipes de bZx ont été rejointes par d’autres développeurs DeFi dans la traque de l’attaquant. Cela leur a permis d’identifier plusieurs adresses IP, supposément liées au hacker.
En parallèle, bZx a contacté Circle et Tether afin qu’ils gèlent les USDC et USDT détenu par l’attaquant, permettant de réduire quelque peu les dégâts de l’attaque.
Les hacks de bZx cesseront-ils un jour ?
Cette nouvelle attaque arrive comme un cheveu sur la soupe pour bZx. En effet, le protocole n’en est malheureusement pas à sa première déconvenue. En février 2020, le protocole avait ainsi essuyé la perte de 645 000 dollars suite à une attaque par manipulation d’oracles. Une seconde attaque a frappé le protocole au mois de septembre, avec cette fois-ci 8 millions de dollars de pertes à déplorer.
Au total, le protocole comptabilise plus de 63 millions de dollars de pertes à travers les 3 attaques.
L’année 2021 a été autant la meilleure que la pire année de la DeFi. Malgré un essor sans précédent, les hacks n’ont jamais été aussi nombreux. Au total, 680 millions de dollars ont été dérobés aux protocoles DeFi en 2021.