DeFi : aubaine pour Multichain, 2.6 millions de dollars hackés récupérés

Une histoire qui finit bien – L’écosystème de la finance décentralisée (DeFi) comptabilise plus de 250 milliards de dollars de TVL. Malheureusement, cet amoncèlement monétaire est une aubaine pour les hackeurs du monde entier. Ces derniers ne se font pas prier pour attaquer les protocoles qui présentent des failles de sécurité. 

Hack de Multichain : 5 millions de dollars envolés

Multichain est un protocole de pont dit cross-chain. Il permet d’envoyer des fonds entre différentes blockchains. 

Le 17 janvier dernier, Multichain a averti sa communauté qu’une vulnérabilité critique affectait 6 jetons supportés par le protocole. Malgré un discours rassurant de la part des développeurs, cette première faille en cachait une autre. 

Ainsi, seulement deux jours plus tard, la société d’analyse de blockchain PeckShield a identifié plusieurs transactions laissant penser que le protocole Multichain était la cible d’une attaque. 

En effet, une nouvelle faille avait été découverte, puis exploitée par plusieurs adresses différentes. Au total, les attaquants ont réussi à dérober l’équivalent de 5 millions de dollars en cryptomonnaies

Remboursement et aides extérieures

Cette histoire aurait pu se finir comme de nombreuses autres, sans que les fonds ne soient jamais restitués. 

Heureusement pour Multichain, la roue a finalement tourné. Ainsi, l’un des attaquants a directement proposé de restituer les fonds au moment des faits, monnayant une récompense. Au final, celui-ci a restitué un total de 319 ETH, sur les 1 889 ETH dérobés au total. 

Par la suite, Multichain a eu l’aide de l’entreprise Tether pour geler une partie du butin. Le 11 février dernier, Tether a gelé des USDT présents sur l’une des adresses liées au hack. Résultat, ce sont 715 000$ supplémentaires qui ont pu être récupérés. 

Finalement, le 19 février, les équipes de Multichain ont annoncé avoir réussi à récupérer environ la moitié des fonds dérobés, soit 912 ETH.

Image d'annonce du Postmortem

De son côté, Multichain continue de dérouler son programme de compensation, visant à rembourser intégralement les utilisateurs lésés. 

Pour ce faire, ces derniers devront répondre à deux critères : 

  • Avoir révoqué leurs approbations sur le contrat ; 
  • Envoyer un ticket sur le support dédié. 

En effet, bien que les équipes aient réussi à corriger la faille, celle-ci peut encore être exploitée sur des wallets n’ayant pas révoqué leur approbation sur le contrat.

Pour rappel, lorsque vous utilisez un protocole DeFi, celui-ci vous demande de signer une transaction autorisant de dépenser des fonds. Cependant, si elle n’est pas révoquée, cette autorisation peut permettre à un attaquant de mettre la main sur vos fonds. 

Bug bounty et lutte contre les hacks

Dans les jours qui ont suivi l’attaque, Multichain a été épaulé par l’entreprise spécialisée dans la sécurité Dedaub. Ainsi, le protocole a alloué 1 million de dollars de récompense pour Dedaub, sous forme de bug bounty. 

« Nous sommes reconnaissants de Dedaub de nous avoir contactés au moment même où la vulnérabilité a été découverte, et de nous avoir aidés à lutter contre les attaques. L’équipe récompensera Dedaub avec notre prime de bug maximale de 1 million de dollars pour chacune des deux divulgations de vulnérabilité »

, explique l’annonce.

En parallèle, Multichain a annoncé un partenariat à venir avec le protocole spécialisé dans le bug bounty Immunefi. 

La semaine dernière c’était au tour du protocole MakerDAO d’annoncer un partenariat avec ImmuneFi. Ainsi, MakerDAO a mobilisé 10 millions de dollars pour financer les récompenses de ce programme. 

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.