Un trésor de 700 000 € sur la DeFi – Il découvre une faille sur des NFT et s’enrichit en une nuit
Un attaquant fier de son forfait – Les hackers ne semblent jamais s’essouffler et s’ingénient à vouloir porter préjudice à l’écosystème DeFi. Cette fois-ci, il n’est pas question de pools vidées grâce à des flashloans, mais d’une attaque visant le projet NFT Meebits.
Un hacker un peu trop fier de lui
Larva Labs fait partie de ces organisations pionnières dans l’écosystème NFT. Celle-ci est à l’origine des fameux CryptoPunks qui ont participé à mettre en place l’engouement autour de l’art tokenisé.
L’entreprise est récemment revenu sur le devant de la scène avec une nouvelle série de personnages NFT : les Meebits.
Cependant, le samedi 8 mai, un attaquant a découvert une faille dans le processus de génération des Meebits.
Connu sous le pseudonyme @0xNietzsche sur Twitter, l’attaquant s’est très vite vanté de son exploit, annonçant qu’il était en mesure de gagner « 300 000 dollars par heure », lors de l’attaque. Celui-ci a depuis supprimé les tweets en question, expliquant que ces derniers étaient inconvenants.
Des Meebits très rares générés incessamment
Dans les faits, la faille a permis à l’attaquant de créer le Meebit qu’il désirait, ce qui lui a permis de générer les plus rares, donc naturellement les plus chers.
L’attaquant avait alors envoyé une transaction pour générer un Meebit et l’avait inversé, si le Meebit ne lui convenait pas. Ainsi, nous pouvons voir toute une série de transactions refusées sur l’adresse du contrat de l’attaquant.
Pour ce faire, 0xNietzsche s’est basé sur un fichier ZIP inclus dans le contrat des Meebits, révélant l’ID de chaque Meebit. Il lui a donc suffi de créer une liste des ID des Meebits qui l’intéressaient (es plus rares) et de nouveaux Meebits jusqu’à obtenir ceux désirés.
Une fois le Meebit désiré créé, 0xNietzsche l’a mis en vente sur OpenSea avant de le vendre pour la modique somme de 200 ETH, soit 680 000 dollars au cours actuel.
Larva Labs réagit vite, mais un peu tard
Peu de temps après la découverte de cette attaque, les équipes de Larva Labs ont temporairement désactivé la création ainsi que le trading sur le contrat Meebits.
Un formulaire a également été mis en place pour les derniers participants n’ayant pas pu réclamer les Meebits qui leur étaient dus. En effet, l’ensemble des possesseurs de NFT CryptoPunk ou Glyph était en mesure de générer un Meebits.
Point surprenant : il semblerait qu’une partie de la communauté prédise que cet évènement entraînera le prix des Meebits à la hausse, car il aurait permis de dynamiser le projet.
Avec une perte de plus de 284 millions de dollars rien que sur Ethereum, la DeFi semble être une place des plus précaires dans la sphère crypto. Bien que Larva Labs ait réagit plutôt efficacement, les dégâts causés ont été assez importants. Les développements de la finance décentralisée sauront-ils mettre en place des solutions durables contre ces hacks redondants ?