Hack de Multichain, le hacker au grand cœur rembourse en partie les victimes

Le Robin des bois d’Ethereum ? – La finance décentralisée a apporté de nombreuses innovations à l’écosystème crypto. Cependant, les smart contracts étant publics, il est extrêmement facile pour les hackers malveillants d’identifier les potentielles failles de ces contrats. Une situation qui n’a eu de cesse de se répéter tout au long de l’année 2021. 

Une vulnérabilité critique découverte sur Multichain

Multichain, anciennement connu sous le nom de AnySwap, est un protocole DeFi dit cross-chain, car il évolue sur plusieurs blockchains à la fois. En pratique, celui-ci permet d’envoyer des fonds d’une blockchain à une autre via un bridge.

Le 17 janvier dernier, le protocole Multichain a averti les utilisateurs de la présence d’une faille critique sur le protocole. En pratique, cette faille affectait 6 jetons différents, à savoir les jetons WETH, PERI, OMT, WBNB, MATIC et AVAX.

Au moment de l’annonce, les développeurs du protocole ont annoncé que la vulnérabilité avait été corrigée. Ces derniers assuraient alors que tous les actifs des bridges V2 et V3 étaient sûr.

Des millions dérobés sur Multichain

Malheureusement, il semblerait que la vulnérabilité découverte le 17 janvier n’était pas la seule présente sur les contrats de Multichain. 

Ainsi, le 18 janvier, l’entreprise Peckshield spécialisée dans l’analyse de blockchain a été alertée d’une vulnérabilité en cours d’exploitation sur Multichain. 

En pratique, plusieurs wallets ont exploité la faille présente sur le contrat. Il est pour le moment impossible de savoir si ces wallets sont le fruit d’un ou plusieurs attaquants. 

Dans les faits, la vulnérabilité affectait la fonction anySwapOutUnderlyingWithPermit. Ainsi, celle-ci ne présentait pas de vérification de permission pour dépenser les fonds lors de l’utilisation du WETH. 

« L’attaquant utilise ce problème pour construire une adresse de jeton malveillante, de sorte que le sous-jacent obtenu par la fonction est WETH. De son côté, le WETH de l’utilisateur qui a précédemment autorisé le jeton WETH au contrat AnyswapV4Router est directement transféré à l’adresse de jeton construite de manière malveillante par l’attaquant. »

Tal Be’ery, le cofondateur de ZenGo

Au total, ce sont plus de 3 millions de dollars qui auraient été dérobés par plusieurs adresses différentes sur Ethereum. 

>> Venez faire vos premiers pas dans l’univers Bitcoin sur Binance (lien affilié) <<

White hacker au grand cœur

Quelques heures après les faits, l’une des adresses ayant participé à l’attaque a pris contact avec les développeurs du protocole en envoyant un message via une transaction Ethereum. 

« Je suis un whitehat, envoyez-moi la transaction dans laquelle vous avez perdu vos weth, je vous en rends 80%. Le reste fera office de pourboire pour me remercier d’avoir protégé votre argent. »

Rapidement, les développeurs ont répondu à l’attaquant en lui communiquant une adresse sur laquelle renvoyer les fonds. 

Finalement, le white hat a renvoyé une partie des fonds à un utilisateur lésé ainsi qu’au protocole Multichain : 

• 269 ETH à un utilisateur ayant été impacté par l’attaque ; 
• 50 ETH au protocole Multichain. 

En parallèle, celui-ci a gardé 62 ETH, soit environ 186 000$ en tant que récompense de bug bounty. 

Malheureusement, 528 ETH reste pour le moment entre les mains d’autres adresses ayant participé à l’attaque, sans que nous puissions savoir si celles-ci appartiennent au white hat. 

C’est la deuxième fois que le protocole est la cible d’une attaque. En juillet dernier, celui-ci a perdu 7,9 millions de dollars dans une attaque. Plus récemment, c’est la plateforme d’échange centralisé Crypto.com qui a fait les frais d’une attaque à plusieurs dizaines de millions de dollars.

Accompagnerez-vous la révolution Bitcoin ? Il ne tient plus qu’à vous d’embarquer dans le train  crypto ! Pour ce faire, et commencer à vous familiariser avec ce monde passionnant, n’attendez pas pour vous créer un compte sur Binance, l’exchange Bitcoin et crypto de référence (lien affilié).