Ethereum : 25 millions de dollars dérobés à des robots traders de cryptomonnaies
Des bots de MEV pris au piège – Les bots sont monnaie courante sur Ethereum et les autres blockchains à smart contracts. Cependant, ils sont eux aussi potentiellement vulnérables aux failles. Ainsi le 3 avril, une faille exploitée a entraîné la perte de plus de 25 millions de dollars pour un groupe de bots MEV.
Bots MEV : 25 millions de dollars partis en fumée
La MEV pour Maximum Extractible Value est une discipline qui vise à arranger les transactions d’un bloc afin de maximiser le profit réalisé au sein de ce bloc.
Évidemment, cet écosystème est principalement composé de bots, appliquant des stratégies très spécifiques. Nous pouvons notamment citer les bots d’arbitrage ou de liquidation pour les plus honnêtes et les bots de sandwich pour les moins éthiques.
Les bots MEV sont une combinaison de smart contracts hébergés on-chain ainsi que d’un programme informatique qui gère la partie calcul et logique. Évidemment, ces derniers disposent souvent d’une large somme d’argent sur le smart contract afin de mener à bien leur stratégie.
Le 2 avril, un attaquant a compromis plusieurs bots MEV, entraînant le vol de 25 millions de dollars. En pratique, le développeur 3155.eth a été le premier à révéler l’incident sur Twitter. Peu après, l’entreprise PeckShield spécialisée dans l’analyse de blockchain a retracé les actifs volés jusqu’à trois adresses Ethereum.
Une attaque finement planifiée
Le 3 avril, au lendemain de l’attaque, l’entreprise OtterSec a publié un thread revenant sur la suite d’évènement qui a mené à l’attaque.
Selon eux, l’attaquant a tendu un piège aux bots MEV en déposant 32 ETH pour devenir validateur 18 jours avant l’incident. En effet, le hacker a financé un nœud validateur le 16 mars, via un transfert confidentiel.
L’attaquant aurait ensuite attendu que ce soit son tour de proposer un bloc en tant que validateur. Une fois que c’était le cas, il aurait réorganisé le contenu du bloc et créé un nouveau bloc contenant des transactions malveillantes pour vider les contrats des bots MEV.
Faille sur MEV-Boost et correctif
Rapidement, il est devenu clair qu’il s’agissait là d’une faille sur le logiciel MEV-Boost, développée par l’entreprise Flashbots.
De son côté, l’équipe de Flashbots a réagi en proposant une solution pour prévenir de futurs incidents similaires.
Pour ce faire, elle a introduit une fonction qui demande aux relayers, un intermédiaire de confiance entre les constructeurs de blocs et les validateurs, de publier un bloc signé avant de transmettre son contenu à un proposant.
Cette étape, vise à réduire la probabilité qu’un proposant malveillant au sein de MEV-Boost propose un bloc qui dévie de ce qu’il a reçu d’un relais.
Pourtant, Flashbot a mis en place un programme de bug bounty. Malheureusement, celui-ci propose jusqu’à 25 000$ pour une vulnérabilité critique. Un montant bien loin des 25 millions de dollars empochés par le hacker.
À la fin de l’année 2022, les équipes de Flashbot avaient dévoilé plusieurs solutions pour lutter contre la censure sur Ethereum. Parmi ces solutions, nous retrouvons le très ambitieux projet SUAVE.
Les catastrophes et les hacks, ça n’arrive pas qu’aux autres ! Il vaut mieux ne jamais confier la sécurité de vos cryptomonnaies à un tiers. Pour dormir l’esprit tranquille, équipez-vous d’un wallet hardware sécurisé. Ledger, vous offre jusqu’à 30 $ en BTC pour l’achat d’une clé Nano. Votre sécurité n’a pas de prix (lien commercial).