Ethereum : comment devenir richissime en investissant 112$
Annnd it’s goooooone… agaaaaaaaiiin – Nous vous parlions hier du protocole bZx, permettant de soutenir des prêts crypto dans le grand monde riant de la finance décentralisée. Mais alors qu’un petit malin a réalisé un braquage de génie hier en profitant d’opportunités d’arbitrage liées à des vulnérabilités dans les divers outils annexes intéragissant avec bZx, voilà qu’il a récidivé ce matin : cette fois, la perte se chiffrerait à 645 000 $. On ne change pas une équipe qui perd !
Une attaque achetée, une offerte
C’est le média The Block qui a prévenu ce matin d’une nouvelle attaque visant le protocole bZx. Alors que la précédente attaque mêlait à la fois fragilité du code, arbitrages malins et génie de l’agencement du tout, la nouvelle attaque du jour semble relever d’une manipulation d’oracles plus directe, toujours grâce à la contraction de prêts instantanés (flash loan). Pour rappel, les oracles sont des programmes informatiques qui permettent aux smart contracts de récupérer des données hors de la blockchain. Ils sont par exemple utilisés pour qu’un smart contract puisse suivre le cours d’une crypto.
Cette seconde attaque s’est avérée plus importante que la précédente, entraînant la perte de 2 388 ETH du côté de bZx, soit environ 645 000$, en ayant dépensé 112$ de frais.
Dans le détail, le petit malin en question s’est encore une fois régalé : il a d’abord emprunté en flash loan quelques 7500 ETH. Il en a vendu la moitié sur la plateforme Synthetix – déjà connue pour ses smart contrats fragiles – pour récupérer 940 000 dollars en sUSD (stablecoin utilisé sur Synthetix, valant alors approximativement 1$ la pièce). Il a ensuite utilisé 900 autres ETH pour acheter à un prix délirant des sUSD sur les plateformes Kyber et Uniswap, de telle sorte qu’il a réussi à faire monter artificiellement le prix du sUSD sur ces plateformes autour de 2$ pièce.
Il est ensuite revenu à la charge sur bZx, empruntant 6796 ETH à l’aide de ses sUSD nouvellement acquis, utilisés comme collatéral légitime. En mobilisant la totalité des ETH alors en sa possession (approximativement 10 000 ETH), il a remboursé son flash loan initial, gagnant au final 2379 ETH.
Comme la dernière fois, le montage est savant, malin et terriblement efficace, en une transaction.
Funds aren’t safu
Cette nouvelle attaque tombe très mal pour les équipes en charge du développement de bZx et de Fulcrum. En effet, ces dernières viennent tout juste de publier un rapport concernant la première attaque intitulé « aucun utilisateur n’a perdu ou ne perdra de fonds. Les fonds sont SAFU ».
Malheureusement pour eux, il n’aura pas fallu attendre longtemps pour que les fonds ne soient pas si « safu » que ça, et qu’une nouvelle attaque soit menée.
Assez étonnamment, les équipes de bZx semblent considérer que le protocole n’a pas encore réellement subi ces pertes. Selon le rapport en question, il conviendrait de noter « que ce ne sont pas encore des pertes, mais qu’elles pourraient le devenir« . La manœuvre pourra faire penser aux crypto-fans qui répètent à tue-tête que « tant que c’est pas revendu, c’est pas vraiment perdu« .
La finance décentralisée commence à montrer ses premiers signes de faiblesses suite aux « attaques » répétées du protocole bZx. Ou quand complexité ne rime pas forcément avec solidité.