Le Robin des bois d’Ethereum ? – La finance décentralisée a apporté de nombreuses innovations à l’écosystème crypto. Cependant, les smart contracts étant publics, il est extrêmement facile pour les hackers malveillants d’identifier les potentielles failles de ces contrats. Une situation qui n’a eu de cesse de se répéter tout au long de l’année 2021.
Multichain, anciennement connu sous le nom de AnySwap, est un protocole DeFi dit cross-chain, car il évolue sur plusieurs blockchains à la fois. En pratique, celui-ci permet d’envoyer des fonds d’une blockchain à une autre via un bridge.
Le 17 janvier dernier, le protocole Multichain a averti les utilisateurs de la présence d’une faille critique sur le protocole. En pratique, cette faille affectait 6 jetons différents, à savoir les jetons WETH, PERI, OMT, WBNB, MATIC et AVAX.
Au moment de l’annonce, les développeurs du protocole ont annoncé que la vulnérabilité avait été corrigée. Ces derniers assuraient alors que tous les actifs des bridges V2 et V3 étaient sûr.
Malheureusement, il semblerait que la vulnérabilité découverte le 17 janvier n’était pas la seule présente sur les contrats de Multichain.
Ainsi, le 18 janvier, l’entreprise Peckshield spécialisée dans l’analyse de blockchain a été alertée d’une vulnérabilité en cours d’exploitation sur Multichain.
En pratique, plusieurs wallets ont exploité la faille présente sur le contrat. Il est pour le moment impossible de savoir si ces wallets sont le fruit d’un ou plusieurs attaquants.
Dans les faits, la vulnérabilité affectait la fonction anySwapOutUnderlyingWithPermit. Ainsi, celle-ci ne présentait pas de vérification de permission pour dépenser les fonds lors de l’utilisation du WETH.
« L’attaquant utilise ce problème pour construire une adresse de jeton malveillante, de sorte que le sous-jacent obtenu par la fonction est WETH. De son côté, le WETH de l’utilisateur qui a précédemment autorisé le jeton WETH au contrat AnyswapV4Router est directement transféré à l’adresse de jeton construite de manière malveillante par l’attaquant. »Tal Be’ery, le cofondateur de ZenGo
« L’attaquant utilise ce problème pour construire une adresse de jeton malveillante, de sorte que le sous-jacent obtenu par la fonction est WETH. De son côté, le WETH de l’utilisateur qui a précédemment autorisé le jeton WETH au contrat AnyswapV4Router est directement transféré à l’adresse de jeton construite de manière malveillante par l’attaquant. »
Au total, ce sont plus de 3 millions de dollars qui auraient été dérobés par plusieurs adresses différentes sur Ethereum.
>> Venez faire vos premiers pas dans l’univers Bitcoin sur Binance (lien affilié) <<
Quelques heures après les faits, l’une des adresses ayant participé à l’attaque a pris contact avec les développeurs du protocole en envoyant un message via une transaction Ethereum.
« Je suis un whitehat, envoyez-moi la transaction dans laquelle vous avez perdu vos weth, je vous en rends 80%. Le reste fera office de pourboire pour me remercier d’avoir protégé votre argent. »
Rapidement, les développeurs ont répondu à l’attaquant en lui communiquant une adresse sur laquelle renvoyer les fonds.
Finalement, le white hat a renvoyé une partie des fonds à un utilisateur lésé ainsi qu’au protocole Multichain :
En parallèle, celui-ci a gardé 62 ETH, soit environ 186 000$ en tant que récompense de bug bounty.
Malheureusement, 528 ETH reste pour le moment entre les mains d’autres adresses ayant participé à l’attaque, sans que nous puissions savoir si celles-ci appartiennent au white hat.
C’est la deuxième fois que le protocole est la cible d’une attaque. En juillet dernier, celui-ci a perdu 7,9 millions de dollars dans une attaque. Plus récemment, c’est la plateforme d’échange centralisé Crypto.com qui a fait les frais d’une attaque à plusieurs dizaines de millions de dollars.
Accompagnerez-vous la révolution Bitcoin ? Il ne tient plus qu’à vous d’embarquer dans le train crypto ! Pour ce faire, et commencer à vous familiariser avec ce monde passionnant, n’attendez pas pour vous créer un compte sur Binance, l’exchange Bitcoin et crypto de référence (lien affilié).
Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.
Pour aller plus loin
Démarches fiscales pour détenteur de crypto-actifs : ce qu’il faut savoir
Le trading du coin propose CryptoTax, une suite d’outils pour automatiser et faciliter les démarches fiscales des possesseur de cryptomonnaies
Dans la même catégorie
Entrez dans la cour des grands du trading de cryptos : nos astuces pour performer sur FTX
Afin de vous familiariser avec le trading de produits dérivés, nous vous proposons une entrevue complète de FTX et son interface de trading. Rappel : le trading comporte des risques importants, et vous pouvez perdre la totalité de votre capital. Cet article est conçu dans un but éducatif, et ne constitue en aucun cas un … Continued
Recevez un condensé d'information chaque jour
Suivant
Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.
Cette option doit être activée à tout moment afin que nous puissions enregistrer vos préférences pour les réglages de cookie.
Si vous désactivez ce cookie, nous ne pourrons pas enregistrer vos préférences. Cela signifie que chaque fois que vous visitez ce site, vous devrez activer ou désactiver à nouveau les cookies.
Ce site utilise Google Analytics pour collecter des informations anonymes telles que le nombre de visiteurs du site et les pages les plus populaires.
Garder ce cookie activé nous aide à améliorer notre site Web.
Veuillez activer d’abord les cookies strictement nécessaires pour que nous puissions enregistrer vos préférences !