Ethereum : ils se font 20 millions de $ en un clic – L’histoire hallucinante d’un braquage évitable

Ethereum ne connaîtra donc jamais la paix ? – La DeFi d’Ethereum (ETH) est un terreau fertile de l’innovation. Malheureusement, cet écosystème est également un terrain de jeu pour les hackers malveillants, qui se font un malin plaisir à siphonner les pools des protocoles trop laxistes sur la sécurité.

Une attaque qui aurait pu être évitée…

Le mercredi 4 août, les équipes de Popsicle Finance ont alerté leur communauté qu’une attaque était en cours sur le protocole crosschain. 

Publication Twitter de Popsicle Finance sur l'attaque en cours
Publication de Popsicle Finance – Source : Twitter

Une fois n’est pas coutume, le média spécialisé dans les attaques DeFi Rekt a couvert l’évènement et disséqué chacune des actions de l’attaquant. Ce dernier aurait réussi à s’emparer de 20 millions de dollars. Pour y parvenir, il aurait exploité un bug pourtant déjà bien connu, celui de la fonction RewardDistribution

Comme le souligne Rekt, cette attaque aurait pu être évitée si les développeurs et auditeurs effectuaient une veille plus drastique sur les attaques DeFi :

« Le bug RewardDistribution a déjà été exploité dans plusieurs autres protocoles. Les auditeurs et les développeurs de smart contracts doivent rester à jour. Ce code n’aurait pas dû être mis en production. »

… basée sur un flash loan

Comme c’est le cas dans quasi chacune des attaques DeFi, l’attaquant a pu mener son attaque grâce à un flash loan de plusieurs millions de dollars sur Aave. Selon Rekt :

« Le piratage est dû à l’absence d’une comptabilisation correcte des frais lors du transfert des jetons LP. »

Pour rappel, les « jetons LP » sont les jetons distribués par un protocole donné lorsqu’un utilisateur y dépose des fonds. Il s’agit en fait d’une représentation des fonds déposés. 

En pratique, l’attaquant a créé une suite de smart contracts pour duper le protocole. Après avoir déposé ses millions de dollars obtenus via le flash loan, celui-ci a répété plusieurs fois les mêmes opérations sur différentes pools pour profiter du bug présent dans RewardDistribution

Directement après son attaque, le hacker a déposé 4 100 ETH sur le protocole Tornado Cash, permettant de brouiller sa trace. L’autre moitié du butin a, elle aussi, été transférée sur ce protocole dans les heures qui ont suivi l’attaque. Désormais, l’adresse de l’attaquant ne détient que quelques poussières d’ETH. 

La DeFi souffre de tous ces hacks

Popsicle vient rejoindre la très longue liste des protocoles DeFi ayant souffert d’une attaque. Plus récemment, les protocoles ThorChain et PancakeBunny ont tous 2 essuyé la deuxième attaque de leur histoire. 

Ainsi, malgré les attaques à répétitions, les développeurs et auditeurs de smart contracts ne semblent toujours pas être en mesure d’appliquer des standards assurant la sécurité des fonds de leurs utilisateurs. 

De son côté, Vitalik Buterin milite pour qu’Ethereum passe au-delà de la DeFi et se diversifie dans les applications proposées. Cependant, l’accent devrait être mis sur la sécurité avant de tenter de diversifier le champ des possibles et de complexifier l’écosystème.

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.