Ethereum : il vole 3 millions de $ en ETH… mais en restitue la moitié – Les remords du hacker de XCarnival
Hacker pris de remords – Quasiment chaque semaine, l’écosystème DeFi connait son lot d’arnaques et de hacks en tout genre. Cependant, dans certains cas, cela se finit bien, avec une restitution des fonds dérobés. C’est ce qu’il vient d’arriver dans le cadre du hack du protocole XCarnival.
Hack XCarnival : 3 000 ETH dérobés
XCarnival est un protocole de lending évoluant sur les blockchains, Ethereum et BNB Smart Chain. Celui-ci se démarque des protocoles de lending habituel.
En effet, XCarnival a la particularité de proposer des prêts en l’échange de la collatéralisation d’un NFT. Par conséquent, les détenteurs de NFT peuvent les déposer en collatéral afin de contracter un prêt décentralisé.
À l’inverse, les protocoles de lending habituels nécessite un dépôt de collatéral en cryptomonnaies, que ce soit de l’ETH, du BTC ou des stablecoins.
Malheureusement, le 26 juin, les équipes de XCarnival ont annoncé la mise en pause de leur smart contrat, bloqué des dépôts et les retraits.
Peu après, la nouvelle tombe : le protocole a été exploité et l’attaquant a réussi à dérober plus de 3 000 ETH, pour un magot total de 3,4 millions de dollars.
En pratique, l’attaquant a pu exploiter une faille lui permettant d’effectuer plusieurs prêts avec un seul NFT.
Pour ce faire, il a déposé le NFT Bored Ape Yacht Club #5510 sur XCarnival. Ce dépôt lui a permis d’effectuer un premier prêt. Par la suite, il a pu retirer le NFT sans rembourser le prêt, du fait de la faille.
Il a alors réitéré l’opération jusqu’à avoir siphonné plus de 3 087 ETH dans les pools du protocole.
Négociations avec le hacker
Comme souvent dans ce type de situation, les développeurs du protocole XCarnival ont entrepris de négocier avec l’attaquant.
Ainsi, ces derniers ont envoyé un message on-chain sur l’adresse de l’attaquant. XCarnival lui a alors proposé une récompense de 300 000$ de bug bounty, en échange de la restitution des fonds.
« Nous aimerions préparer 300 000 $ comme prime de bug pour les sommes prises et si vous rendez les fonds, nous ne poursuivrons pas les actions de répression. »
Une proposition qui n’aura, semblerait-il, pas vraiment séduit l’attaquant. À l’inverse, celui-ci a demandé une augmentation de cette prime à 1 500 ETH, 300 ETH ayant été jugés “trop bas”.
De son côté, XCarnival n’est pas vraiment en mesure de négocier. Par conséquent, ces derniers n’ont eu d’autre choix que d’accepter la proposition à 1 500 ETH. Se sont ensuivis quelques échanges dans lesquels l’attaquant s’est assuré qu’il ne serait pas poursuivi.
Finalement, le 27 juin, l’attaquant a procédé à la restitution des 1 467 ETH restants, empochant au passage une jolie récompense de plus d’un million de dollars.
Depuis cet incident, XCarnival travaille en collaboration avec l’entreprise Certik dans le but de réviser leur contrat présentant une faille. De surcroit, le protocole a annoncé également être en contract avec l’entreprise Peckshield dans le but de réaliser un second audit du code.
Tous les protocoles n’ont pas cette chance
Dans certains cas, les protocoles exploités n’ont pas autant de chance que XCarnival. C’est notamment le cas de la blockchain Harmony, dont le pont Horizon a été attaqué la semaine dernière.
Au total, l’attaquant a réussi à dérober l’équivalent de 100 millions de dollars en cryptomonnaies. Évidemment, les équipes du protocole ont tenté d’entrer en contact avec l’attaquant, lui proposant une récompense de 1 million de dollars pour la restitution des fonds.
Une proposition qu’il n’a pas daigné soulever, laissant les équipes d’Harmony sans réponse.
Plus récemment, celui-ci a finalement fait le choix de blanchir les fonds. Ainsi, celui-ci a commencé à massivement transférer les fonds dérobés vers le protocole Tornado Cash dans le but de brouiller les pistes.