Ethereum : comment devenir richissime en investissant 112$

Collectionnez les articles du JDC en NFT

Collecter cet article

Annnd it’s goooooone… agaaaaaaaiiin – Nous vous parlions hier du protocole bZx, permettant de soutenir des prêts crypto dans le grand monde riant de la finance décentralisée. Mais alors qu’un petit malin a réalisé un braquage de génie hier en profitant d’opportunités d’arbitrage liées à des vulnérabilités dans les divers outils annexes intéragissant avec bZx, voilà qu’il a récidivé ce matin : cette fois, la perte se chiffrerait à 645 000 $.  On ne change pas une équipe qui perd !

Une attaque achetée, une offerte

C’est le média The Block qui a prévenu ce matin d’une nouvelle attaque visant le protocole bZx. Alors que la précédente attaque mêlait à la fois fragilité du code, arbitrages malins et génie de l’agencement du tout, la nouvelle attaque du jour semble relever d’une manipulation d’oracles plus directe, toujours grâce à la contraction de prêts instantanés (flash loan). Pour rappel, les oracles sont des programmes informatiques qui permettent aux smart contracts de récupérer des données hors de la blockchain. Ils sont par exemple utilisés pour qu’un smart contract puisse suivre le cours d’une crypto.

Cette seconde attaque s’est avérée plus importante que la précédente, entraînant la perte de 2 388 ETH du côté de bZx, soit environ 645 000$, en ayant dépensé 112$ de frais.

Dans le détail, le petit malin en question s’est encore une fois régalé : il a d’abord emprunté en flash loan quelques 7500 ETH. Il en a vendu la moitié sur la plateforme Synthetix – déjà connue pour ses smart contrats fragiles – pour récupérer 940 000 dollars en sUSD (stablecoin utilisé sur Synthetix, valant alors approximativement 1$ la pièce). Il a ensuite utilisé 900 autres ETH pour acheter à un prix délirant des sUSD sur les plateformes Kyber et Uniswap, de telle sorte qu’il a réussi à faire monter artificiellement le prix du sUSD sur ces plateformes autour de 2$ pièce.

Il est ensuite revenu à la charge sur bZx, empruntant 6796 ETH à l’aide de ses sUSD nouvellement acquis, utilisés comme collatéral légitime. En mobilisant la totalité des ETH alors en sa possession (approximativement 10 000 ETH), il a remboursé son flash loan initial, gagnant au final 2379 ETH.

Comme la dernière fois, le montage est savant, malin et terriblement efficace, en une transaction

Funds aren’t safu

Cette nouvelle attaque tombe très mal pour les équipes en charge du développement de bZx et de Fulcrum. En effet, ces dernières viennent tout juste de publier un rapport concernant la première attaque intitulé “aucun utilisateur n’a perdu ou ne perdra de fonds. Les fonds sont SAFU”. 

Malheureusement pour eux, il n’aura pas fallu attendre longtemps pour que les fonds ne soient pas si “safu” que ça, et qu’une nouvelle attaque soit menée.

Assez étonnamment, les équipes de bZx semblent considérer que le protocole n’a pas encore réellement subi ces pertes. Selon le rapport en question, il conviendrait de noter “que ce ne sont pas encore des pertes, mais qu’elles pourraient le devenir“. La manœuvre pourra faire penser aux crypto-fans qui répètent à tue-tête que “tant que c’est pas revendu, c’est pas vraiment perdu.

La finance décentralisée commence à montrer ses premiers signes de faiblesses suite aux “attaques” répétées du protocole bZx. Ou quand complexité ne rime pas forcément avec solidité.

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.

Commentaires

3 responses à “Ethereum : comment devenir richissime en investissant 112$


Alex
J'ai absolument rien compris à la manœuvre. Sûrement pour ça que je dors avec mes btc
Répondre · Il y a 4 ans

Maxime Huard
Idem
Répondre · Il y a 4 ans

strass-vite-chat
D'accord, c'est malin (et bien orchestré) mais peut-on parler d'une attaque ? Il a juste été taper dans le ventre mou de Kyber et Uniswap dont les valeurs sont strictement indexées sur l'offre et la demande. Je ne sais même pas si on peut dire que c'est malveillant. Il a créé un vide d'une main pour le combler de l'autre quand de l'autre main quand c'était dans son intérêt. Comme dirait l'autre : "to win, be first, be smart or cheat". Il a été rapide (be first) et intelligent (diagramme de séquences sur velleda : check ) mais a-t-il "cheat" ? Je ne pense pas. Ce n'est que mon avis. Portez-moi la contradiction. Progressons. *sort les chips*
Répondre · Il y a 3 ans

Votre email ne sera pas publié. En publiant un commentaire, vous acceptez notre politique de confidentialité.


Recevez un condensé d'information chaque jour