Au cours des derniers mois, nous avons vu se multiplier les solutions de seconde couche sur Ethereum. Parmi elles, Blast a ouvert ses portes au public le 29 février dernier. Malheureusement, le réseau fait déjà état de ses premiers hacks avec le vol de 4,6 millions de dollars sur le jeton SSS.
4,6 millions de dollars envolés sur le jeton SSS
Le 17 mars, le projet de gaming Super Sushi Samurai a lancé son jeton SSS sur le réseau Blast. En parallèle, les équipes du projet devaient dévoiler le jeu dans la foulée. C’était sans compter sur une faille dans le smart contract du jeton.
Ainsi, le 21 mars aux alentours de 16h, l’entreprise Certik spécialisée dans la sécurité et l’analyse des blockchains a tiré la sonnette d’alarme. Celle-ci a alerté d’un incident ayant eu lieu sur le jeton SSS et qui a entraîné la perte de 4,6 millions de dollars.
L’origine de la faille
Dans la foulée, l’équipe du protocole a adressé la faille. Selon un message publié sur leur canal Telegram, il semblerait que l’attaquant ait réussi à exploiter la fonction mint du contrat. Celle-ci permet de créer de nouveaux jetons SSS. Une fois les milliers de jetons créés, celui-ci s’est empressé de vendre les jetons sur l’exchange décentralisé Thruster.
« Nous avons été exploités et l’attaque est en lien avec la fonction mint. Nous sommes toujours en train d’étudier le code. Des jetons ont été émis et vendus sur les marchés des DEX. »
Finalement, d’autres analyses ont montré que la faille se situait au niveau de la fonction de transfert des jetons SSS. Ainsi, comme expliqué par un développeur de Yuga Labs, le transfert de l’intégralité du solde de jeton vers la même adresse engendrait le doublement des jetons.
Le travail d’un white hat
Finalement, plus de peur que de mal. Quelques heures après les faits, le hacker a pris contact avec l’équipe de Super Sushi Samourai afin de restituer les fonds.
Dans le message envoyé on-chain, celui-ci explique avoir réalisé un white hat hack, à savoir un hack dans le but de mettre les fonds en sécurité.
« Bonjour à l’équipe, ceci est un hack de sauvetage whitehat. Travaillons sur le remboursement des utilisateurs. Veuillez nous contacter via Blockscan chat à partir du déployeur SSS 0x555b28f3b8b8ebd1b06997c2078fd94529f555 sur le mainnet Ethereum. »
Un soulagement à la fois pour les équipes de Super Sushi Samouraï et les détenteurs du jeton SSS qui ont vu son cours s’effondrer suite au hack. Désormais, les équipes du protocole espèrent arriver à un accord avec le hacker.
« Le white hat s’est montré coopératif, nous élaborons un plan qui n’affecte ni le white hat ni les utilisateurs. Nous espérons que les négociations aboutiront bientôt.»
De son côté, le réseau Blast continue sa croissance en parallèle de son programme de points. Toutefois, celui-ci a été victime d’une importante instabilité lors du déploiement du hard fork Cancun Deneb. Des instabilités qui ont par la suite été résolues.
