Ethereum : il vole 3 millions de $ en ETH… mais en restitue la moitié – Les remords du hacker de XCarnival

Hacker pris de remords – Quasiment chaque semaine, l’écosystème DeFi connait son lot d’arnaques et de hacks en tout genre. Cependant, dans certains cas, cela se finit bien, avec une restitution des fonds dérobés. C’est ce qu’il vient d’arriver dans le cadre du hack du protocole XCarnival. 

Hack XCarnival : 3 000 ETH dérobés 

XCarnival est un protocole de lending évoluant sur les blockchains, Ethereum et BNB Smart Chain. Celui-ci se démarque des protocoles de lending habituel. 

En effet, XCarnival a la particularité de proposer des prêts en l’échange de la collatéralisation d’un NFT. Par conséquent, les détenteurs de NFT peuvent les déposer en collatéral afin de contracter un prêt décentralisé. 

À l’inverse, les protocoles de lending habituels nécessite un dépôt de collatéral en cryptomonnaies, que ce soit de l’ETH, du BTC ou des stablecoins. 

Malheureusement, le 26 juin, les équipes de XCarnival ont annoncé la mise en pause de leur smart contrat, bloqué des dépôts et les retraits.

XCarnival annonce la suspension de son service.
XCarnival annonce la suspension de son service.

Peu après, la nouvelle tombe : le protocole a été exploité et l’attaquant a réussi à dérober plus de 3 000 ETH, pour un magot total de 3,4 millions de dollars. 

En pratique, l’attaquant a pu exploiter une faille lui permettant d’effectuer plusieurs prêts avec un seul NFT.

Pour ce faire, il a déposé le NFT Bored Ape Yacht Club #5510 sur XCarnival. Ce dépôt lui a permis d’effectuer un premier prêt. Par la suite, il a pu retirer le NFT sans rembourser le prêt, du fait de la faille. 

Il a alors réitéré l’opération jusqu’à avoir siphonné plus de 3 087 ETH dans les pools du protocole. 

>> Jouez la sécurité, inscrivez-vous sur FTX la référence des exchanges crypto (lien affilié) <<

Négociations avec le hacker

Comme souvent dans ce type de situation, les développeurs du protocole XCarnival ont entrepris de négocier avec l’attaquant. 

Ainsi, ces derniers ont envoyé un message on-chain sur l’adresse de l’attaquant. XCarnival lui a alors proposé une récompense de 300 000$ de bug bounty, en échange de la restitution des fonds. 

« Nous aimerions préparer 300 000 $ comme prime de bug pour les sommes prises et si vous rendez les fonds, nous ne poursuivrons pas les actions de répression. »

Message envoyé par XCarnival à l'attaquant.
Message envoyé par XCarnival à l’attaquant.

Une proposition qui n’aura, semblerait-il, pas vraiment séduit l’attaquant. À l’inverse, celui-ci a demandé une augmentation de cette prime à 1 500 ETH, 300 ETH ayant été jugés “trop bas”. 

De son côté, XCarnival n’est pas vraiment en mesure de négocier. Par conséquent, ces derniers n’ont eu d’autre choix que d’accepter la proposition à 1 500 ETH. Se sont ensuivis quelques échanges dans lesquels l’attaquant s’est assuré qu’il ne serait pas poursuivi. 

Finalement, le 27 juin, l’attaquant a procédé à la restitution des 1 467 ETH restants, empochant au passage une jolie récompense de plus d’un million de dollars. 

XCarnival annonce la restitution des fonds.
XCarnival annonce la restitution des fonds.

Depuis cet incident, XCarnival travaille en collaboration avec l’entreprise Certik dans le but de réviser leur contrat présentant une faille. De surcroit, le protocole a annoncé également être en contract avec l’entreprise Peckshield dans le but de réaliser un second audit du code.

Tous les protocoles n’ont pas cette chance

Dans certains cas, les protocoles exploités n’ont pas autant de chance que XCarnival. C’est notamment le cas de la blockchain Harmony, dont le pont Horizon a été attaqué la semaine dernière. 

Au total, l’attaquant a réussi à dérober l’équivalent de 100 millions de dollars en cryptomonnaies. Évidemment, les équipes du protocole ont tenté d’entrer en contact avec l’attaquant, lui proposant une récompense de 1 million de dollars pour la restitution des fonds. 

Une proposition qu’il n’a pas daigné soulever, laissant les équipes d’Harmony sans réponse. 

Plus récemment, celui-ci a finalement fait le choix de blanchir les fonds. Ainsi, celui-ci a commencé à massivement transférer les fonds dérobés vers le protocole Tornado Cash dans le but de brouiller les pistes


Restez loin des spammeurs et escrocs de tout poil, fuyez comme la peste les propositions trop belles pour être vraies et prenez l’habitude de faire preuve d’une saine méfiance. En revanche, apprenez également à accorder une confiance raisonnable aux acteurs respectables et reconnus de l’écosystème. La plateforme FTX rentre sans l’ombre d’un doute dans cette seconde catégorie. Venez acquérir et trader vos premiers bitcoins et autres cryptomonnaies en vous inscrivant sur FTX. Vous y bénéficierez d’une réduction à vie sur vos frais de transactions (lien affilié). 

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.

Recevez un condensé d'information chaque jour