Jamais 2 sans 3 ? – La finance décentralisée (DeFi) et les protocoles qui la composent sont de plus en plus souvent la cible d’attaques. Le dernier en date concerne le protocole de liquidités cross chain ThorChain, qui vient d’essuyer plusieurs millions de dollars de pertes.
Presque 5 millions de dollars envolés
Dans la nuit du 15 au 16 juillet, les équipes du protocole ThorChain ont signalé à leurs utilisateurs une attaque à l’encontre des pools de liquidités de la plateforme.
Le montant total de l’attaque avait été estimé à 13 000 ETH, soit plus de 24 millions de dollars, lors de la première annonce publiée sur Telegram. Depuis, les estimations ont été successivement revues à la baisse et il semblerait que le montant total dérobé soit finalement de l’ordre de 2 500 ETH, soit environ 4,9 millions de dollars.
Dans les heures qui ont suivi, le réseau ThorChain a été mis en pause, le temps que les développeurs puissent corriger la vulnérabilité exploitée lors de l’attaque. Bien que la faille ait été depuis corrigée, le réseau est toujours en pause au moment de rédiger ces lignes. Celui-ci devrait revenir en ligne dans les heures à venir, une fois que les équipes du protocole se seront assuré qu’aucune autre faille n’est présente.
Le déroulement de l’attaque
Pour rappel, ThorChain est un protocole de liquidités cross chain, ce qui veut dire qu’il opère à la jonction entre différentes blockchains et permet des transferts de liquidités entre Bitcoin, Ethereum, Litecoin, Bitcoin Cash et la Binance Smart Chain.
Pour faire simple, le protocole utilise un réseau de nœuds qui exécutent un service appelé Bifröst. Ce service est celui qui permet d’écouter les transactions provenant d’une chaine A pour les exécuter sur une chaine B.
D’après les annonces publiées par les équipes de ThorChain, il semblerait que l’attaquant ait profité d’une faille dans le service Bifröst ETH. Celui-ci venait récemment d’être mis à jour, en permettant au routeur d’être inclus dans un smart contract, via un wrapped smart contract.
L’attaquant a réussi à tromper le service Bifröst via un wrapped contract personnalisé, lui faisant croire qu’il effectuait une large transaction, alors qu’en réalité, il ne transférait aucune valeur.
« L’attaquant pourrait envoyer une transaction avec msg.value = 200 ETH, mais utiliser un contrat pour détourner cette somme vers lui, puis appeler le routeur avec un montant de dépôt de 0. Bifrost signalerait msg.value = 200, et non depositAmount = 0. »
Publication de ThorChain sur Twitter
Des fonds intégralement remboursés
Les équipes de ThorChain ont d’ores et déjà annoncé qu’elles procéderaient à un remboursement intégral des fonds dérobés par l’attaquant. En pratique, il pourrait être effectué via le fonds de trésorerie du protocole. Cependant, avant de recourir à cette solution, les équipes de ThorChain ont adressé un message à l’attaquant, lui proposant de restituer les fonds en échange d’une récompense sous la forme d’un bug bounty.
« Bien que la trésorerie dispose des fonds nécessaires pour couvrir le montant volé, nous demandons à l’attaquant de prendre contact avec l’équipe pour discuter du retour des fonds et d’une prime proportionnelle à la découverte. »
Publication de ThorChain sur Telegram
Heureusement pour le protocole, celui-ci avait effectué un lancement prudent en fixant des plafonds sur ses pools de liquidités. Le résultat de cette attaque aurait pu être bien pire si ses équipes n’avait pas pris cette précaution, comme l’a souligné Chris Blec.
Pour qu’un tel évènement ne se reproduise pas, les équipes du protocole ont annoncé avoir pris contact avec diverses entreprises spécialisées dans la sécurité des protocoles blockchains, pour réaliser un audit complet de l’ensemble des smart contracts utilisés.
Les hacks dans la cryptosphère ne cessent de se multiplier et représentent le principal risque de la DeFi. Entre juillet 2019 et février 2021, ce sont plus de 284 millions de dollars qui ont été dérobés rien que sur Ethereum.
Amateur de Bitcoin et de crypto ? Une offre limitée vous permet ces jours-ci d’obtenir gratuitement jusqu’à 300€ en cryptomonnaies (sous réserve d’un dépôt minimum de 150€) ! Profitez de cette offre, tout en soutenant le travail du Journal du Coin en utilisant ce lien affilié pour vous inscrire sur la plateforme de référence Swissborg (voir conditions de l’offre sur le site officiel).
