SushiSwap fait chou blanc – La finance décentralisée est en ébullition ce dimanche. SushiSwap a été victime d’un hack qui a entrainé – au moins – la perte de 3,3 millions de dollars. L’issue du piratage, encore incertaine, est amère. Explications.
Hack de SushiSwap : un week-end qui tourne au vinaigre
Le hack est encore récent et tous les détails de l’affaire ne sont pas encore à notre disposition. Toutefois, voici ce que nous savons pour le moment. La cause du hack tout d’abord. Elle proviendrait d’un bogue lié à l’approbation sur le contrat RouterProcessor2, d’après PeckShield.
« Il semble que le contrat SushiSwap RouterProcessor2 ait un bogue lié à l’approbation, ce qui entraîne la perte de plus de 3,3 millions de dollars»
Peckshield – Source : Twitter
Cette faille a permis à l’attaquant de s’immiscer dans le processus et de détourner des cryptomonnaies sans autorisation, sans approbation. Pour rappel, l’« approval » (approbation de tokens) est un mécanisme qui permet de donner à un tiers l’autorisation de transférer vos tokens. Malheureusement, cela peut également ouvrir la voie à des arnaques et à des pertes financières importantes. Pour creuser ce sujet, nous vous recommandons cet article : l’approbation de tokens : le talon d’Achille de vos cryptomonnaies.
Un premier hacker a découvert cette faille et dérobé 100 ETH. La somme étant minime, il est possible que ce soit un hacker white hat car 90 ETH ont déjà été rendus. Cependant, un second hacker a trouvé lui aussi la recette et a dérobé 1800 ETH, soit 3,3 millions de dollars au cours actuel de l’ether, à @Oxsifu, un membre parfois critiquable de la communauté crypto.
« Le contrat RouteProcessor2 de Sushi a un bogue d’approbation ; veuillez révoquer l’approbation dès que possible. Nous travaillons avec les équipes de sécurité pour atténuer le problème.»
Êtes-vous concernés par le hack ?
Prudence reste de mise à l’heure actuelle. Toutefois, quelques informations et gestes sains sont à retenir ici. Bien que l’attaque ait fait des dégâts, seuls les utilisateurs ayant interagi avec la bourse décentralisée au cours des quatre derniers jours semblent être affectés. Toutefois, plus de 190 adresses Ethereum ont approuvé le contrat problématique, et plus de 2000 adresses sur le Layer 2 Arbitrum ont apparemment approuvé également le mauvais contrat. Pour ceux qui ont été touchés, il y a de quoi avoir un sentiment d’indigestion. Tous ces contrats gangrénés par les hackers doivent en conséquence être révoqués.
Deux outils sont mis à dispositions des utilisateurs afin de savoir s’ils font partie des victimes :
- Une liste des adresses ShushiSwap compromises à d’ores et déjà été publiée par Oxngmi membre de DeFiLlama ;
- Un lien permettant de vérifier si l’une de votre adresse est concernée est également disponible.
Les hacks sur la DeFi sont monnaie courante – à l’image du récent piratage d’Euler Finance – et nous rappellent que trop l’importance de notre sécurité. Alors que SushiSwap confirme actuellement travailler sur la résolution de cette faille et que l’affaire est encore sur le feu, un dénouement se fait attendre. À suivre.
Les catastrophes et les hacks, ça n’arrive pas qu’aux autres ! Il vaut mieux ne jamais confier la sécurité de vos cryptomonnaies à un tiers. Pour dormir l’esprit tranquille, équipez-vous d’un wallet hardware sécurisé. Ledger, vous offre jusqu’à 30 $ en BTC pour l’achat d’une clé Nano. Votre sécurité n’a pas de prix (lien commercial).
