SushiSwap est de retour – Cela faisait longtemps que nous n’avions pas parlé d’un bug exploit, ces exploitations de failles que l’on trouve malheureusement trop souvent dans la finance décentralisée (DeFi). Le scandale du jour s’est produit via les pools d’échange décentralisés du DEX SushiSwap.
Comment transformer 0,001 ETH en 81,68 ETH
Comme l’explique le crypto-média Rekt, un hacker a découvert et exploité une faille dans une pool à faibles liquidités sur SushiSwap.
Il s’agit plus précisément du pool concernant le token DIGG du projet de DAO Badger. Le pirate a ainsi réussi à s’approprier tous les frais de transaction générés pendant 24 h par ces transactions. Frais que tous les apporteurs de liquidités de la pool auraient dû normalement se partager entre eux.
En utilisant seulement 0,001 ether (soit 1,31 dollar), le pirate a réussi à détourner pour son compte 81,68 ethers, soit un casse d’un peu plus de 107 000 dollars au cours actuel !
Comme on peut le voir dans la transaction en question ci-dessous, l’individu a transformé sa petite mise de départ en ether en token DIGG, puis en Wrapped BTC (WBTC, la version tokenisée sur ETH du BTC), avant de récupérer son larcin en Wrapped ETH.
Un « petit » avertissement pour les milliards de liquidités de SushiSwap ?
Rekt explique qu’il s’agissait pourtant là d’une vieille faille, et pour laquelle un correctif avait déjà été développé.
Le problème est que cette correction a dû être « appliquée manuellement à chaque nouvelle pool », et évidemment, la pool DIGG/WBTC dont il est question aujourd’hui n’avait pas reçu ce correctif à temps.
Mais la situation aurait pu être bien plus dramatique selon Rekt :
« Après des recherches plus approfondies, nous avons découvert que, bien qu’il y ait eu cette exploitation de faille, les dégâts ont été contenus, et que ce qui avait été perçu comme une menace pour l’ensemble du protocole SushiSwap était simplement l’œuvre d’un charognard malin qui a ramassé des miettes encore disponibles. »
La conversation que l’équipe de Rekt a eue sur Discord avec SushiSwap n’a pas été de nature à rassurer. Ils affirment ne pas automatiser l’application du correctif. Ainsi, le risque d’oubli est bien présent.
L’incident du jour aurait pourtant dû servir d’avertissement, car comme l’explique Rekt :
« Cette histoire nous rappelle que les protocoles sont constamment surveillés par les hackers (…), qui suivent chacun de leurs mouvements et essaient de leur faire les poches (…) »
Malheureusement, il y a très peu de chance que cette nouvelle exploitation de faille soit la dernière dont nous vous parlerons dans ce secteur jeune qu’est la DeFi. Espérons qu’elles resteront circonscrites, et que les sommes de plus en plus immenses placées dans ces protocoles décentralisés ne seront pas affectées de façon catastrophique.
