Rendre à César ce qui est à César – Le protocole bZx fait partie de la famille des protocoles de la finance décentralisée. Celui-ci a été victime d’une exploitation de bug entraînant la perte des 8 millions de dollars en actifs crypto. Heureusement, l’attaquant est revenu sur ses pas et a restitué l’intégralité du montant.
8 millions grâce à un bug de duplication
Dans la nuit du 13 au 14 septembre dernier, Marc Thalen, ingénieur de Bitcoin.com, a contacté les équipes de bZx pour les notifier d’un bug dans leur code.
Ainsi, une mauvaise conception d’un smart contract permettait à un utilisateur de s’envoyer des fonds depuis une même adresse, causant une duplication de ces derniers. Au total, 20 millions de dollars étaient vulnérables.
1/4 Last night I found an exploit in BRZX. I noticed that a user were capable of duplicating “i tokens”. There was 20+ million $ at risk. I informed the team telling them to stop the protocol and explained the exploit to them. At this point none of the founders were up.. pic.twitter.com/MdJqOH2IPu
— Marc (@marcthalen) September 14, 2020
Le 14 septembre, bien que l’alerte ait été lancée, les équipes ont mis trop de temps à réagir et un attaquant a réussi à dérober l’équivalent de 8 millions de dollars en LINK, ETH, USDT, USDC et DAI. Une somme qui représente 30% des actifs en gestion par le protocole bZx.
Tout est bien qui finit bien
Finalement, dans la journée du 14 septembre, bZx a annoncé à sa communauté que l’intégralité des fonds avait été restituée par l’attaquant sur le wallet de l’équipe de développement.
📢 UPDATE:
We are relieved to announce that the missing funds are now restored. More information will follow.
Stay tuned!
— bZx – Fulcrum & Torque (@bZxHQ) September 14, 2020
Selon le porte-parole du projet, Paris Fotis, l’attaquant a pu être traqué grâce à son activité on-chain en analysant le mouvement des fonds. Une fois démasqué, l’attaquant n’a eu d’autres choix que de restituer l’intégralité des fonds.
Une fois les fonds restitués et la faille corrigés, les équipes ont pu redistribuer les fonds dérobés sur leurs pools respectifs.
🆕 👀 UPDATE:
Pools are restored and the funds are no longer in the wallet!
— bZx – Fulcrum & Torque (@bZxHQ) September 15, 2020
45 000$ pour la découverte de la faille
Du côté de Marc Thalen, l’histoire se finit également bien avec le versement de 45 000$ de bug bounty pour le récompenser d’avoir découvert la faille.
Pour rappel, les bug bounties sont des programmes mis en place par différentes entreprises visant à récompenser des utilisateurs qui découvriraient des bugs dans leur infrastructure.
Cependant, ce n’était pas gagné d’avance. En effet, les équipes de bZx ont dans un premier temps proposé une récompense de 12 500$, jugée trop faible par Thalen au regard de la charte de bug bounty publiée par le protocole.
7/4 one of the founders just mentioned on telegram that the "recommendation" from their independent security panel was a 12.5k bounty. Now I don't want to be greedy but this number is a lot different from what they listed in their relaunch blog last month @rleshner pic.twitter.com/bbGaRK1DJm
— Marc (@marcthalen) September 14, 2020
