Un hacker devient white hat – Optimism est l’une solution de seconde couche la plus en vogue d’Ethereum. Il y a peu, celle-ci a dévoilé son jeton de gouvernance OP, distribué en partie aux utilisateurs via un airdrop. En parallèle, 20 millions de jetons initialement destinés à l’entreprise Wintermute ont été interceptés par un hacker. Après négociation, celui-ci vient de restituer une partie des fonds dérobés.
20 millions de jetons OP dérobés sur Optimism
Le 1er juin dernier, la solution de seconde couche Optimism a lancé son jeton de gouvernance OP. Environ 210 millions de jetons ont été distribués aux premiers utilisateurs du protocole via un premier airdrop. De surcroît, Optimism a distribué plusieurs millions de jetons à différents protocoles et entreprises vertueuses de l’écosystème.
Ainsi, 20 millions de jetons OP ont été alloués à l’entreprise Wintermute. Celle-ci devait utiliser ces jetons pour fournir un service d’approvisionnement en liquidité. Malheureusement, tout ne s’est pas passé comme prévu.
En effet, Wintermute a communiqué une adresse multisignature Ethereum qui n’était pas encore déployée sur Optimism. Seulement, un attaquant a devancé l’entreprise. Celui-ci a déployé l’adresse avant eux et a réussi à empocher l’allocation de 20 millions d’OP.
Dans la foulée, l’attaquant a vendu 1 million de jetons OP. Par la suite, il a envoyé un million supplémentaire à l’adresse Optimism de Vitalik Buterin, co-fondateur d’Ethereum.
Suite à ce vol, les équipes de Wintermute ont publié un message à destination de l’attaquant, le priant de restituer les fonds. Ces derniers lui ont laissé un délai d’une semaine. Après ce délai, Wintermute a annoncé intensifier l’enquête et partager leurs trouvailles aux autorités compétentes.
>> Jouez la sécurité ! Inscrivez-vous sur Binance, et économisez 10% de frais (lien commercial) <<
Le hacker devient white hat et restitue 17 millions de jetons
Il n’aura pas fallu attendre bien longtemps pour que le hacker refasse surface. En effet, 2 jours après la mise en demeure publiée par Wintermute, une série d’activités ont été détectées sur l’adresse de l’attaquant.
Face à la menace des poursuites judiciaires, celui-ci a préféré endosser le rôle du white hat en restituant les fonds.
Ainsi, ce dernier a effectué un total de 17 transactions, d’un montant respectif de 1 million de jetons OP, à destination de l’adresse d’Optimism. Par conséquent, 17 millions sur les 20 millions initialement dérobés ont été restitués.
Cependant, celui-ci a gardé 1 million de jetons OP en plus du million vendu à la suite de l’attaque. Une opération qui n’est pas conforme à la demande de Wintermute, qui avait proposé à l’attaquant de conserver le million de jetons initialement vendu et lui demandait de restituer 18 millions de jetons.
Néanmoins, Wintermute n’est pas pour autant en position de négocier. Effectivement, le CEO de l’entreprise avait concédé que l’erreur était intégralement leur faute. Reste maintenant à savoir si l’entreprise laissera passer cette entorse à la règle fixée dans leur mise en demeure, ou si celle-ci se contentera des 17 millions de jetons.
Sans surprise, Vitalik Buterin a également restitué le million de jetons OP que l’attaquant lui avait envoyés.
Un bug bounty juteux pour l’attaquant
Au total, l’attaquant a empoché près de 2 millions de dollars en jetons OP, une récompense très juteuse acquise aux dépens de Wintermute.
En pratique, cela représente le maximum de récompense accordé par Optimism dans son programme de bug bounty. En effet, en janvier dernier, Optimism a mis en place un programme de bug bounty en partenariat avec le protocole Immunefi.
La récompense maximale de ce programme est de 2 millions de dollars. Elle dépend évidemment de la sévérité de la faille décelée. Évidemment, dans le cas présent, l’attaquant n’est pas passé par le programme Immunefi et a récupéré le bug bounty à la source, sur les fonds dérobés à Wintermute.
Bien que cette récompense puisse paraitre colossale, elle s’avère minime face aux récompenses empochées par d’autres attaquants. Ainsi, un hacker a récemment sauvé 70 000 ETH et a empoché une récompense de 6 millions de dollars pour sa bonne action.
Les hacks sont des aléas malheureux, mais pas une fatalité. Besoin de tranquillité d’esprit pour vos cryptos ? Inscrivez-vous vite sur la plateforme Binance, LA référence absolue du secteur, et économisez 10% sur vos frais de trading en suivant ce lien (lien commercial).
