Ethereum : les hackers continuent de se régaler grâce à la faille fatale Profanity

Profanity continue les dégâts – Il y a peu, les équipes de 1inch dévoilaient une faille importante dans l’outil Profanity. Une mise en garde qui n’aura pas empêché des hackers de dérober des millions de dollars en cryptomonnaies

Profanity : l’outil à l’origine de la faille

Le 15 septembre, les équipes du protocole 1inch ont publié un article de blog dévoilant une faille d’envergure

Cette faille impact l’outil Profanity. En pratique, cet outil permet de générer des adresses personnalisées, aussi appelées adresses vanity. Par exemple, l’adresse 0x000000000000000000000000000000000000dEaD est une adresse vanity.

Cependant, une faille a été détectée dans la méthode de génération de ces adresses permettant de régénérer les clés privées de certaines adresses. 

Malheureusement, cet avertissement n’aura pas été suffisant pour résoudre le problème. En effet, seulement 5 jours après la publication du papier, cette faille a commencé à faire ses premières victimes.

Ainsi, la plateforme de market making Wintermute a été hackée à hauteur de 160 millions de dollars. Dans les faits, la plateforme disposait d’un hot wallet dont l’adresse avait été générée par Profanity. 

Via ses différentes communications, Wintermute a expliqué avoir eu recours à ce type d’adresse pour optimiser l’utilisation en gas (frais de transaction). Une optimisation qui se sera avérée extrêmement coûteuse. 

En parallèle, le hacker d’Indexed Finance a lui aussi été la cible d’une attaque sur son adresse Vanity. Par conséquent, un attaquant a réussi à lui dérober 3,3 millions de dollars. Il fut vraisemblablement le premier à avoir été victime de ce type d’attaque. 

Par la suite, ce même attaquant a dérobé plus de 1 200 ETH supplémentaires (1,6 million de dollars) auprès d’une dizaine d’autres adresses vanity. 

950 000$ supplémentaires dérobés

Évidemment, le hacker de Wintermute n’a pas été le seul à profiter de la faille. Ainsi, le 26 septembre, Peckshield l’entreprise spécialisée dans la sécurité des blockchains, a averti d’une nouvelle attaque. 

En pratique, l’attaquant a dérobé 950 000$ en cryptomonnaies sur une adresse générée grâce à l’outil Profanity. 

« Il semblerait que 950 000 $ en cryptomonnaie aient été volés par 0x9731F à partir d’une “adresse Ethereum vanity” générée avec un outil appelé Profanity. L’exploiteur a déjà transféré ~732 $ETH vers un mixeur. »

Peckshield annonce une nouvelle attaque via la faille Profanity - Source : Twitter.
Peckshield annonce une nouvelle attaque via la faille Profanity – Source : Twitter.

Ainsi, après avoir réalisé son larcin, l’attaquant a rapidement transféré ses fonds vers le protocole Tornado Cash pour brouiller les pistes. 

Les vecteurs d’attaques sont nombreux dans l’écosystème crypto. La plupart du temps, ces derniers sont introduits par des outils tiers. C’est ainsi qu’une quarantaine de plateformes d’échanges se sont retrouvées à risque après avoir utilisé une bibliothèque JavaScript. Ces attaques peuvent engendre des risques systémiques, mis en évidence dans notre récente série sur la cyber insécurité.

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.