Une faille fatale menaçait ce coffre-fort à cryptomonnaies… Alors ils l’ont fait sauter, pour son propre bien !
À 2 doigts de la catastrophe – Un protocole de la finance décentralisée (DeFi) a réussi à éviter de peu un désastre, suite à la découverte d’une faille dans son smart contract. Pour protéger les fonds mis en jeu d’un acte malveillant, c’est la propre équipe du protocole Primitive Finance qui a piraté temporairement les cryptomonnaies.
Un piratage préventif pour éviter toute déconvenue
Tôt ce matin du 22 février, toute l’équipe de Primitive Finance était en alerte maximale. Ce protocole DeFi a été prévenu par le service de cybersécurité Dedaub (spécialisé dans les blockchains) que leur smart contract comportait une faille critique, qui exposait les fonds mis en jeu par les utilisateurs.
Ce contrat intelligent ne pouvant être mis à jour ou suspendu de façon à éviter tout risque de piratage, ce sont les équipes de Primitive Finance elles-mêmes qui ont exploité cette faille (par un white hack), afin de mettre en lieu sûr les fonds menacés.
Un process de réclamation de ces fonds piratés pour la bonne cause va être mis en place et annoncé prochainement, afin que chaque utilisateur retrouve ses fonds.
Une petite partie des fonds encore exposée : il faut agir vite
Attention toutefois ! Primitive Finance signale dans un autre tweet que, même si « 98% des fonds » ont pu être récupérés, les tokens dans les wallets qui ont approuvé le contrat vulnérable sont « toujours sous risque ».
Les équipes du protocole détaillent la marche à suivre par les utilisateurs pour protéger leur fonds et recommandent de le faire immédiatement :
- Rendez-vous sur https://app.primitive.finance/reset ;
- Cliquez sur le bouton de réinitialisation « Reset » et signez la transaction pour fixer votre approbation (au smart contract vulnérable) à 0 Wei.
Il faut répéter la manœuvre pour chaque jeton affiché sur l’interface utilisateur de Primitive Finance, afin de protéger tous les fonds.
D’après le premier bilan de la situation présenté sur le blog de Primitive Finance, la faille serait liée aux approbations infinies (infinite approvals) du smart contract vulnérable.
Notez que le protocole, lancé en décembre 2020, permettait aux fournisseurs de liquidités d’obtenir des rendements sur les ethers (ETH) et les stablecoin DAI notamment.
Bien qu’il ait été audité par Open Zeppelin en août 2020, cette faille aurait pu être fatale pour le protocole, si les équipes de Primitive Finance n’avait pas réagi rapidement.
Au moment d’écrire ces lignes, aucun piratage malveillant des 2 % de fonds exposés restants n’est à déplorer. Les utilisateurs de Primitive Finance peuvent donc souffler après cette petite frayeur. Ils devraient d’ailleurs récupérer leurs précieuses cryptos sous peu.