Hack Euler Finance : une (simple) faille à l’origine de la perte de 200 millions de $
Le fautif se dévoile enfin. En mars dernier, le protocole Euler Finance avait fait la une après avoir été victime d’un hack d’envergure. Au total, plus de 200 millions de dollars avaient été dérobés. Sept mois plus tard, de nouveaux éléments viennent s’ajouter au dossier.
Retour sur ce hack impressionnant d’Euler Finance
Le lundi 13 mars, le protocole Euler Finance a été alerté par divers observateurs d’une transaction inhabituelle. Peu après, la nouvelle tombe : le protocole a été victime d’un hack à hauteur de 200 millions de dollars.
En parallèle, une partie des fonds a pu être mise en sécurité par plusieurs white hats. Néanmoins, le butin du hacker restait astronomique.
Par la suite, les développeurs ont négocié, puis trouvé un accord avec le hacker. Celui-ci s’est ainsi engagé à restituer 90 % des fonds, tout en gardant un confortable 19 millions de dollars de récompense pour avoir trouvé le bug.
Finalement, au mois de juillet, le hacker a dévoilé son identité lors d’un entretien avec nos confrères de Coinage. Il y explique son parcours ainsi que le déroulement du hack.
Un white hat à l’origine de la faille
Alors que nous pensions cette affaire close, de nouveaux éléments ont été apportés. Effectivement, le 5 septembre, un hacker white hat connu sous le pseudonyme Kankodu a dévoilé sur X (Twitter) être à l’origine de la faille.
Celui-ci explique avoir découvert un bug sur le protocole Euler Finance en juillet 2022. Ce bug aurait permis à un attaquant d’exploiter le protocole en manipulant le prix des actifs. Pour la découverte de ce bug, Kankodu a encaissé 50 000 dollars de bug bounty.
Cependant, pour résoudre cette vulnérabilité, les équipes d’Euler ont effectué une modification du code source du protocole. Selon Kankodu, ce sont précisément ces modifications qui ont permis l’introduction d’une nouvelle faille, bien plus dévastatrice :
« Une fonction d’apparence innocente, conçue uniquement pour réduire les fonds d’un utilisateur, a fini par compromettre l’ensemble du protocole. Il s’agit là d’une leçon coûteuse. Il faut traiter les corrections de bugs, même minimes, avec le même degré d’importance que les mises à jour majeures, telles que le déploiement d’une V2. »
Vous l’aurez compris. C’est cette même faille qui a été introduite par erreur lors de la correction du bug révélé par Kankodu, qui a été exploitée en mars dernier par le hacker d’Euler Finance.
Toutefois, comme l’a souligné Michael Bentley, CEO d’Euler Labs, la correction du bug mis en lumière par Kankodu avait été auditée. Pourtant, cela n’a pas empêché la présence d’une faille.
Plus récemment, c’est le protocole de casino Stake qui a été victime d’un hack. Au total, 41 millions de dollars ont été dérobés dans les pools du protocole.
Besoin d’un portefeuille sécurisé pour explorer les multiples applications de la DeFi ? la meilleure solution est encore un wallet hardware personnel. Chez Ledger, il y en a pour tous les profils et toutes les cryptos. N’attendez pas pour mettre vos capitaux en sécurité (lien commercial) !