Comment se faire 17 millions de $ en un clic avec les cryptos ? Ces hackers donnent une leçon à QiDAO
Des hacks en veux-tu en voilà – En l’espace de deux ans, l’écosystème de la finance décentralisée (DeFi) a attiré plus de 200 milliards de dollars. Cependant, la sécurité de bon nombre de protocoles composant cet écosystème laisse cruellement à désirer. Sans surprise, les hackers du monde entier afflux vers ce nouveau terrain de jeu.
QiDAO : 13 millions envolés sur Polygon
QiDAO est un protocole de la finance décentralisée qui permet de générer le stablecoin MAI en échange d’un dépôt de collatéral en cryptomonnaies.
Celui-ci utilise le service proposé par le protocole Superfluid pour distribuer ses jetons de gouvernance à ses investisseurs de la première heure. Ainsi, le contrat Superfluid débloque de manière continue les jetons qui présentent une période de blocage, attribués aux investisseurs et à l’équipe de QiDAO.
Le 8 février, le protocole Superfluid a annoncé que le contrat de QiDAO hébergé sur Polygon avait été la cible d’une attaque.
Au total, le butin composé de plusieurs cryptomonnaies s’élève à plus de 17 millions de dollars. Celui-ci se décompose de la manière suivante :
- 11 008 MATIC ;
- 1 507 931 MOCA ;
- 28 ETH ;
- 39 357 sdam3CRV ;
- 19 387 874 QI ;
- 44 581 SDT ;
- 23 653 STACK ;
- 562 834 USDC.
Après avoir été averties de l’attaque, les équipes de Superfluid ont rapidement identifié la faille et corrigé cette dernière en mettant à jour le protocole.
En parallèle, Superfluid offre une récompense de 1 million de dollars à l’attaquant pour retourner les fonds. Celui-ci n’a toujours pas contacté Superfluid au moment de la rédaction de ces lignes.
Une faille qui ne pardonne pas
Les équipes de Superfluid ont publié un post-mortem revenant sur les évènements, dans les heures qui ont suivi la résolution du problème.
Selon le post-mortem, la faille était située dans le contrat Superfluid.sol. Celui-ci permet de définir les accords de versements en une transaction.
Cependant, pour assurer un état fiable partagé entre les différentes parties de l’accord, cette transaction introduit un concept appelé « ctx”.
Bien que les détails exacts n’aient pas été révélés, l’attaquant aurait réussi à exploiter ce concept de ctx. Ainsi, celui-ci a pu modifier les données envoyées au contrat de sorte à usurper l’identité d’autres comptes.
“Ce mécanisme a été utilisé afin de créer des index IDA « au nom » d’autres comptes et de transférer leurs jetons de cette manière.”
Extrait du post-mortem
Coup dur pour QiDAO
Comme nous l’avons vu, cette attaque a touché le smart contract gérant la distribution des fonds aux investisseurs et équipes du projet. Ainsi, aucun des fonds appartenant aux utilisateurs du protocole n’ont été affectés.
Néanmoins, bien que le protocole QiDAO en lui-même ne soit pas remis en cause, le cours de son jeton QI a dégringolé dans les heures suivant l’attaque.
En effet, celui-ci a subi une chute de 80% en passant de 1,24 $ à 0,27 $. Le jeton est depuis légèrement remonté aux alentours de 0,75 $, enregistrant tout de même une perte de 50% à la suite de ce hack.
De son côté, le réseau Polygon continue d’attirer de nouveaux investisseurs. Ainsi, l’entreprise à l’origine du réseau vient de clôturer une collecte de fonds d’un montant de 450 millions de dollars pour financer son développement.