Hack de bZx : l’attaquant rend les 8 millions de dollars

Rendre à César ce qui est à César – Le protocole bZx fait partie de la famille des protocoles de la finance décentralisée. Celui-ci a été victime d’une exploitation de bug entraînant la perte des 8 millions de dollars en actifs crypto. Heureusement, l’attaquant est revenu sur ses pas et a restitué l’intégralité du montant.

Notre avis sur la DeFi »

8 millions grâce à un bug de duplication

Dans la nuit du 13 au 14 septembre dernier, Marc Thalen, ingénieur de Bitcoin.com, a contacté les équipes de bZx pour les notifier d’un bug dans leur code.

Ainsi, une mauvaise conception d’un smart contract permettait à un utilisateur de s’envoyer des fonds depuis une même adresse, causant une duplication de ces derniers. Au total, 20 millions de dollars étaient vulnérables.

Le 14 septembre, bien que l’alerte ait été lancée, les équipes ont mis trop de temps à réagir et un attaquant a réussi à dérober l’équivalent de 8 millions de dollars en LINK, ETH, USDT, USDC et DAI. Une somme qui représente 30% des actifs en gestion par le protocole bZx.

Tout est bien qui finit bien

Finalement, dans la journée du 14 septembre, bZx a annoncé à sa communauté que l’intégralité des fonds avait été restituée par l’attaquant sur le wallet de l’équipe de développement.

https://twitter.com/bZxHQ/status/1305496675474006017

Selon le porte-parole du projet, Paris Fotis, l’attaquant a pu être traqué grâce à son activité on-chain en analysant le mouvement des fonds. Une fois démasqué, l’attaquant n’a eu d’autres choix que de restituer l’intégralité des fonds.

Une fois les fonds restitués et la faille corrigés, les équipes ont pu redistribuer les fonds dérobés sur leurs pools respectifs.

https://twitter.com/bZxHQ/status/1305973479519313921

45 000$ pour la découverte de la faille

Du côté de Marc Thalen, l’histoire se finit également bien avec le versement de 45 000$ de bug bounty pour le récompenser d’avoir découvert la faille.

Pour rappel, les bug bounties sont des programmes mis en place par différentes entreprises visant à récompenser des utilisateurs qui découvriraient des bugs dans leur infrastructure.

Cependant, ce n’était pas gagné d’avance. En effet, les équipes de bZx ont dans un premier temps proposé une récompense de 12 500$, jugée trop faible par Thalen au regard de la charte de bug bounty publiée par le protocole.

Avec cette attaque, la réputation de bZx prend un coup. En effet, le protocole a d’ores et déjà souffert de 2 attaques au cours des derniers mois, et ce, malgré les audits à répétitions. Un nouvel audit a été réalisé par Peckshield pour s’assurer que la correction ainsi que le reste du code ne soient plus vulnérables.

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.