Un pont crypto s’effondre, 80 millions s’envolent – Faille fatale sur X-Bridge
Des ponts qui n’inspirent guère confiance – Face à l’essor de la finance décentralisée (DeFi) et la multiplication des chaînes qui l’hébergent, de nombreux protocoles de bridge ont vu le jour. Bien qu’étant devenus indispensables à l’écosystème, ces derniers présentent des risques systémiques étant donné leurs nombreuses interconnexions.
X-Bridge dans la tourmente : 80 millions envolés
Qubit est un protocole qui appartient à l’écosystème de la finance décentralisée. Celui-ci propose divers services, dont un service de lending ainsi qu’un pont (bridge) baptisé « X-Bridge ».
En pratique, X-Bridge permet d’envoyer des fonds depuis Ethereum (ETH) vers la Binance Smart Chain (BSC) et inversement. Ce mécanisme se déroule en 2 temps :
- Les utilisateurs déposent des ERC-20 sur le contrat hébergé sur Ethereum ;
- Le protocole émet et envoie l’équivalent en BEP-20 sur la BSC.
Le vendredi 28 janvier, les équipes du protocole ont averti la communauté qu’une attaque avait été menée à l’encontre du pont X-Bridge.
Selon les premières informations, l’attaquant a réussi à profiter d’une faille dans le contrat pour créer une quantité illimitée de jetons qXETH, à savoir la représentation de l’ETH sur le pont.
Que s’est-il passé ?
Au lendemain de l’attaque, l’entreprise spécialisée dans l’analyse de blockchain et l’audit de smart contract, Certik, a publié un rapport revenant sur l’attaque.
En effet, nous apprenons qu’au total l’attaquant a réussi à dérober l’équivalent de 17 162 qXETH, soit environ 185 millions de dollars. Ces ETH ont ensuite été utilisés pour emprunter l’équivalent de 80 millions de dollars en cryptomonnaies.
Dans les faits, l’attaquant a profité d’un manque de vérification sur la fonction deposit du bridge :
- L’attaquant a appelé la fonction deposit() sur le contrat QBridge, sans attacher aucun ETH à la transaction ;
- Les données passées à la transaction auraient dû exprimer le montant en ETH déposés. Cependant, à leur place, l’attaquant a inséré des données malveillantes ;
- Le protocole a émis le montant équivalent d’ETH du côté de la BSC.
L’attaquant a ainsi pu siphonner une bonne partie des liquidités du protocole.
Négociations et compensation
Dans son post-mortem publié au lendemain de l’attaque, Qubit explique avoir essayé de rentrer en contact avec l’attaquant. En effet, le protocole lui a proposé une généreuse récompense si ce dernier venait à restituer les fonds.
En attendant, le protocole a mis en pause la plupart de ses fonctionnalités. Cependant, aucune annonce n’a pour le moment été faite concernant un remboursement des utilisateurs lésés ou un plan de compensation.
L’attaque de ce protocole n’a heureusement pas entraîné de répercussions systémiques sur les blockchains Ethereum et BSC. Cependant, ce risque est bel et bien présent, comme l’a récemment souligné Vitalik Buterin dans un article dédié aux ponts cross-chain.
Pendant que de grandes manœuvres crypto s’exécutent à l’échelle de la planète, mettez en place votre propre stratégie d’investissement ! Pour vous y aider, une offre exceptionnelle vous attend : jusqu’à 100€ en cryptomonnaies offerts lors de votre inscription sur la plateforme Swissborg (lien affilié, pour un dépôt minimum de 50€)