Comment se faire 17 millions de $ en un clic avec les cryptos ? Ces hackers donnent une leçon à QiDAO

Des hacks en veux-tu en voilà – En l’espace de deux ans, l’écosystème de la finance décentralisée (DeFi) a attiré plus de 200 milliards de dollars. Cependant, la sécurité de bon nombre de protocoles composant cet écosystème laisse cruellement à désirer. Sans surprise, les hackers du monde entier afflux vers ce nouveau terrain de jeu. 

QiDAO : 13 millions envolés sur Polygon

QiDAO est un protocole de la finance décentralisée qui permet de générer le stablecoin MAI en échange d’un dépôt de collatéral en cryptomonnaies. 

Celui-ci utilise le service proposé par le protocole Superfluid pour distribuer ses jetons de gouvernance à ses investisseurs de la première heure. Ainsi, le contrat Superfluid débloque de manière continue les jetons qui présentent une période de blocage, attribués aux investisseurs et à l’équipe de QiDAO.

Le 8 février, le protocole Superfluid a annoncé que le contrat de QiDAO hébergé sur Polygon avait été la cible d’une attaque. 

Annonce du hack de Superfluid
Annonce du hack de Superfluid – Source : Twitter.

Au total, le butin composé de plusieurs cryptomonnaies s’élève à plus de 17 millions de dollars. Celui-ci se décompose de la manière suivante : 

  • 11 008 MATIC ;
  • 1 507 931 MOCA ;
  • 28 ETH ;
  • 39 357 sdam3CRV ;
  • 19 387 874 QI ;
  • 44 581 SDT ;
  • 23 653 STACK ;
  • 562 834 USDC.

Après avoir été averties de l’attaque, les équipes de Superfluid ont rapidement identifié la faille et corrigé cette dernière en mettant à jour le protocole. 

En parallèle, Superfluid offre une récompense de 1 million de dollars à l’attaquant pour retourner les fonds. Celui-ci n’a toujours pas contacté Superfluid au moment de la rédaction de ces lignes. 

>> Sautez le pas des cryptomonnaies et achetez vos premiers Bitcoin sur KuCoin <<

Une faille qui ne pardonne pas

Les équipes de Superfluid ont publié un post-mortem revenant sur les évènements, dans les heures qui ont suivi la résolution du problème. 

Selon le post-mortem, la faille était située dans le contrat Superfluid.sol. Celui-ci permet de définir les accords de versements en une transaction. 

Cependant, pour assurer un état fiable partagé entre les différentes parties de l’accord, cette transaction introduit un concept appelé « ctx”.

Bien que les détails exacts n’aient pas été révélés, l’attaquant aurait réussi à exploiter ce concept de ctx. Ainsi, celui-ci a pu modifier les données envoyées au contrat de sorte à usurper l’identité d’autres comptes. 

“Ce mécanisme a été utilisé afin de créer des index IDA « au nom » d’autres comptes et de transférer leurs jetons de cette manière.”

Extrait du post-mortem

Coup dur pour QiDAO

Comme nous l’avons vu, cette attaque a touché le smart contract gérant la distribution des fonds aux investisseurs et équipes du projet. Ainsi, aucun des fonds appartenant aux utilisateurs du protocole n’ont été affectés. 

Néanmoins, bien que le protocole QiDAO en lui-même ne soit pas remis en cause, le cours de son jeton QI a dégringolé dans les heures suivant l’attaque. 

En effet, celui-ci a subi une chute de 80% en passant de 1,24 $ à 0,27 $. Le jeton est depuis légèrement remonté aux alentours de 0,75 $, enregistrant tout de même une perte de 50% à la suite de ce hack. 

De son côté, le réseau Polygon continue d’attirer de nouveaux investisseurs. Ainsi, l’entreprise à l’origine du réseau vient de clôturer une collecte de fonds d’un montant de 450 millions de dollars pour financer son développement

Achetez vos premières cryptomonnaies et préparez l’avenir en vous inscrivant sur la plateforme de référence KuCoin. Economisez 10% sur vos frais de trading en suivant notre lien affilié.

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.

Recevez un condensé d'information chaque jour