Hack de Gala : quand les clés privées sont rendues… publiques
Une vraie erreur de débutant – La finance décentralisée (DeFi) est fréquemment la cible d’attaques informatiques. Dans l’inconscient collectif, beaucoup voient les hackers comme des petits génies ayant réussi à trouver une faille dans le code. Cependant, dans certains cas, la faille est beaucoup plus triviale qu’il n’y paraît. Le hack deviendrait presque un jeu d’enfant.
Gala et pNetwork : un hack à plusieurs millions de dollars
Gala Games est un protocole de GameFi évoluant sur la blockchain Ethereum. De plus, Gala Games dispose de son propre jeton, le GALA, évoluant lui aussi sur Ethereum.
La semaine dernière, le protocole Gala Games s’est retrouvé au cœur de la tourmente. En effet, le protocole a conclu d’un partenariat avec le protocole de pont pNetwork. En pratique, celui-ci permet d’envoyer des jetons entre Ethereum et la BNB Chain. Par conséquent, il est possible d’envoyer des GALA d’Ethereum vers BNB Chain. Ces derniers y sont réceptionnés sous la forme de pGALA.
Malheureusement, une « mauvaise configuration » du smart contrat de pGALA a ouvert une faille béante. Rapidement après avoir découvert la faille, les équipes de pNetwork ont tenté tant bien que mal de la contenir. Pour ce faire, ils ont tenté de vider eux-mêmes les pools de liquidités de PancakeSwap. L’objectif était de retirer les pGALA compromis de la circulation avant de déployer un nouveau contrat. Par la suite, ils prévoyaient d’effectuer un airdrop aux détenteurs de l’ancien jeton.
Une faille sur Gala ou plutôt une erreur d’inattention ?
Le 7 novembre, quelques jours après l’attaque, l’entreprise SlowMist est revenue sur l’affaire via une publication Twitter. Ses révélations sont édifiantes.
En fait, le smart contract déployé par pNetwork dispose de plusieurs rôles, chacun de ces rôles ayant des droits spécifiques sur le contrat. Les adresses liées à chaque rôle sont définies par pNetwork à l’initialisation du contrat. Néanmoins, une adresse intitulée proxyAdmin est en mesure de mettre à jour ces informations par souci d’évolutivité. Jusqu’ici rien, d’anormal.
Néanmoins, l’affaire se corse lorsqu’on apprend que la clé privée de cette adresse proxyAdmin avait été publiée sur GitHub en clair à la vue de tous.
« La clé privée de l’adresse du propriétaire du contrat proxyAdmin a été clairement exposée sur Github, permettant à tout utilisateur ayant accès à cette clé privée de contrôler le contrat proxyAdmin et de mettre à niveau le contrat pGALA à tout moment. »
Déclaration de SlowMist
Par conséquent, n’importe qui était en mesure de prendre le contrôle de cette adresse et modifier les différents paramètres du contrat. Un détail qui n’aura pas échappé à un attaquant, qui a changé l’adresse owner du contrat proxyAdmin; le 28 août dernier.
« Une fois que les autorisations du propriétaire du contrat proxyAdmin ont été compromises, le contrat pGALA est devenu vulnérable à une attaque. »
Déclaration de SlowMist
Une communauté mécontente face à cette négligence
Heureusement pour les deux protocoles, l’attaquant n’a pas exploité le protocole, et les équipes de pNetwork ont pu réagir avant qu’il ne tente quoi que ce soit.
En revanche, cela n’a pas suffi à calmer la colère de la communauté. En effet, de nombreux utilisateurs ont perdu d’importantes sommes dans les mouvements de panique qui ont suivi les annonces. De plus, pNetwork continue de parler d’une « mauvaise configuration » comme étant la source du problème, alors qu’en réalité, le problème vient d’une publication de clé privée sur GitHub.
Malheureusement, cette mésaventure viendra s’ajouter aux larges pertes engendrées par des hacks DeFi. Pour rappel, au mois d’octobre, ce sont plus de 700 millions de dollars qui ont été dérobés.
Vous souhaitez tranquillement naviguer sur les eaux agitées de la DeFi ? Enfilez votre gilet de sauvetage et investissez dans une clé Ledger. De plus, une offre de 10 %, valable jusqu’à demain, est disponible pour l’achat d’une clé Nano S ou Nano X (lien commercial).