Un nouveau pont dans les filets des hackers – En parallèle avec l’essor de la finance décentralisée, de nouveaux protocoles ont dû être créés pour s’adapter à cet écosystème multi-chaîne. En effet, plusieurs protocoles ont voulu faciliter les transferts de cryptomonnaies entre chaînes en créant des ponts. Bien qu’utiles, ces derniers sont une proie de choix pour les hackers. Le pont cBridge vient d’en faire l’expérience après le hack de son DNS.
Le pont cBridge subit un hack de DNS
Celer Network est l’un de ces protocoles de pont, aussi appelé bridges. Son produit phare, cBridge, permet aux utilisateurs d’envoyer des fonds entre plus de 34 blockchains différentes. Celui-ci permet également l’envoi de NFT entre Ethereum et la BNB Smart Chain.
Le mercredi 17 août, le protocole a alerté la communauté qu’une attaque de détournement de DNS avait été détectée :
« Nous recevons des rapports qui reflètent un détournement potentiel des DNS de l’interface de cBridge. Nous enquêtons en ce moment, et nous vous demandons de ne pas utiliser le site web pour le bridging pour le moment. »
Quelques heures après cette annonce, les équipes de Celer Network ont confirmé l’hypothèse du détournement de DNS. Elles ont prié leurs utilisateurs d’aller immédiatement révoquer les droits concernant le smart contract vérolé.
Au total, l’attaquant a réussi à dérober l’équivalent de 240 000 dollars en cryptomonnaies aux utilisateurs de cBridge. Sans grande surprise, les fonds ont rapidement été envoyés vers le controversé protocole Tornado Cash.
Des fonds siphonnés par un site « clone » de cBridge
Avant d’entrer dans les détails de l’attaque, un DNS (domain name service) est un service qui permet de lier l’adresse d’un site web à l’adresse IP du serveur qui l’héberge.
En pratique, l’attaque s’est déroulée le 17 août, entre 21h45 et minuit (heure française). Au cours de ce laps de temps, l’attaquant a réussi à détourner le DNS du site pour que l’adresse renvoie vers une copie exacte vérolée du site.
Pendant un peu plus de 2 h, des utilisateurs se sont donc connectés à un site ressemblant comme deux gouttes d’eau à celui de cBridge, sauf que l’adresse du smart contract avait été modifiée. En signant des transactions sur ce site vérolé, les utilisateurs ont permis à l’attaquant de drainer leurs wallets.
Comme l’ont précisé les équipes de Celer, les smart contracts du protocole ne sont pas en faute. En effet, aucune faille n’y a été exploitée :
« L’enregistrement root du DNS de Celer n’a pas été compromis et n’a jamais été modifié. En fait, cette attaque a visé des fournisseurs DNS/ISP tiers qui ne font pas partie du domaine de contrôle du projet. »
En d’autres termes, Celer n’avait pas la main sur ce problème. Notons tout de même qu’une solution existe pour se prémunir de cela en activant l’option « Secure DNS » dans les paramètres de nos navigateurs.
Un dédommagement prévu par Celer
Après avoir été mis en pause le temps de la résolution du problème, le site web de cBridge est de retour en ligne. De surcroît, les équipes de Celer ont annoncé qu’elles compenseraient toute personne ayant été impactée par cette attaque :
« Nous indemniserons entièrement les utilisateurs touchés pendant la durée de l’incident, mais nous demandons d’abord aux utilisateurs de révoquer leur approbation des contrats susmentionnés. »
Il y a une dizaine de jours, le protocole Curve Finance a aussi été victime d’une attaque similaire. Effectivement, cette attaque de DNS avait permis à l’attaquant de soutirer 570 000 dollars aux utilisateurs.
Les catastrophes et les hacks, ça n’arrive pas qu’aux autres ! Il vaut mieux ne jamais confier la sécurité de vos cryptomonnaies à un tiers. Pour dormir l’esprit tranquille, équipez-vous d’un wallet hardware sécurisé Ledger, il y en a pour toutes les bourses. Votre sécurité n’a pas de prix (lien commercial).
