Tout est bien qui finit bien – L’écosystème de la finance décentralisée (DeFi) est malheureusement truffé de bugs et autres failles. L’année 2021 est un exemple parfait, avec plus de 10,5 milliards de dollars dérobés aux protocoles DeFi. Heureusement, dans la plupart des cas, ces bugs sont découverts avant qu’ils ne soient exploités.
En l’espace de quelques mois, le réseau Solana (SOL) a su devenir une place incontournable de l’écosystème DeFi. Celui-ci se positionne actuellement à la quatrième place du classement DeFi en termes de TVL, avec plus de 14 milliards de dollars déposés à travers ses protocoles.
Cependant, celui-ci aurait être mis à mal si une faille, qui vient d’être découverte, avait été exploitée par un hacker malintentionné. C’est ce que vient de révéler l’entreprise Neodyme, avec la publication de leur rapport « How to Become a Millionaire, 0.000001 BTC at a Time ».
L’histoire commence il y a quelques mois, lorsque Simon, l’un des auditeurs de Neodyme, a découvert un bug dans Spl-token-lending. Pour rappel, Spl-token-lending est une suite de contrats permettant de déployer un protocole de lending sur Solana, s’insiprant du fonctionnement de Compound (COMP) et d’Aave (AAVE).
Concrètement, ces contrats permettent de déposer des jetons sur le protocole, en échange de cJetons qui représentent le dépôt. Par la suite, ces cJetons peuvent être renvoyés sur le protocole en échange des jetons initiaux.
Toutefois, les cJetons sont des objets complexes. En effet, en plus de faire référence au dépôt, les cJetons représentent les intérêts générés par un dépôt donné. Par conséquent, le ratio jetons/cJetons n’est pas de 1 pour 1.
« Alice dépose 2 SOL à un taux de change de 1,5, et reçoit 2 * 1,5 = 3 cSOL. Après quelques années de HODLing, Solana a atteint Mars, et Alice souhaite encaisser ses SOL qui ont pris de la valeur afin d’acheter quelques îles privées. Elle retire les 3 cSOL et les échange à un taux de change de 0,5 et reçoit 3/0,5 = 6 SOL. »Exemple tiré du rapport de Neodyme
« Alice dépose 2 SOL à un taux de change de 1,5, et reçoit 2 * 1,5 = 3 cSOL. Après quelques années de HODLing, Solana a atteint Mars, et Alice souhaite encaisser ses SOL qui ont pris de la valeur afin d’acheter quelques îles privées. Elle retire les 3 cSOL et les échange à un taux de change de 0,5 et reçoit 3/0,5 = 6 SOL. »
En réalité, la faille en question affectait le fonctionnement de Spl-token-lending. En effet, le contrat est codé de telle manière que les calculs de jetons sont arrondis à l’entier supérieur. Bien que cela n’ait que peu d’incidence dans le cas de jetons comme le SOL, cet arrondi peut avoir des conséquences dramatiques appliquées à d’autres jetons.
Par exemple, dans le cas du bitcoin (BTC) ou de l’ether (ETH), cet arrondi peut entrainer un écart de 0,005 à 0,05 dollar par transaction. De prime abord, ce chiffre ne semble pas si impressionnant que cela. Impossible d’imaginer titrer un article « Hécatombe sur Solana – 0,05 $ dérobés par un attaquant ».
Cependant, cet écart multiplié de nombreuses fois peut engendrer des pertes colossales. En effet, Solana permet d’effectuer plusieurs actions au sein d’une même transaction. Par conséquent, il serait possible d’effectuer 150 à 200 exécutions au sein d’une même transaction ce qui peut entrainer un écart de 7,5 dollars par transaction, dans le cas du bitcoin.
« Là, on parle ! Nous pouvons faire inclure cette transaction environ 300 fois par seconde, volant 7 500 dollars par seconde ou environ 27 millions de dollars par heure (soit une Lamborghini Huracan par minute). »Rapport de Neodyme
« Là, on parle ! Nous pouvons faire inclure cette transaction environ 300 fois par seconde, volant 7 500 dollars par seconde ou environ 27 millions de dollars par heure (soit une Lamborghini Huracan par minute). »
Au total, Neodyme estime qu’environ 2,6 milliards de dollars étaient à risque, bien que « seuls » plusieurs centaines de millions de dollars disposaient de suffisamment de liquidités pour être exploités. Heureusement, tous les projets impactés par cette faille l’ont depuis corrigé, sans avoir été la cible d’une attaque.
Malheureusement, tout le monde ne profite pas d’une telle chance. Plus récemment, le protocole BadgerDAO a fait les frais d’une faille. Cette fois-ci, l’attaquant a réussi à drainer plus de 120 millions de dollars, en profitant d’une faille dans l’un des contrats du protocole.
Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.
Pour aller plus loin
Démarches fiscales pour détenteur de crypto-actifs : ce qu’il faut savoir
Le trading du coin propose CryptoTax, une suite d’outils pour automatiser et faciliter les démarches fiscales des possesseur de cryptomonnaies
Dans la même catégorie
Entrez dans la cour des grands du trading de cryptos : nos astuces pour performer sur FTX
Afin de vous familiariser avec le trading de produits dérivés, nous vous proposons une entrevue complète de FTX et son interface de trading. Rappel : le trading comporte des risques importants, et vous pouvez perdre la totalité de votre capital. Cet article est conçu dans un but éducatif, et ne constitue en aucun cas un … Continued
Recevez un condensé d'information chaque jour
Suivant
Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.
Cette option doit être activée à tout moment afin que nous puissions enregistrer vos préférences pour les réglages de cookie.
Si vous désactivez ce cookie, nous ne pourrons pas enregistrer vos préférences. Cela signifie que chaque fois que vous visitez ce site, vous devrez activer ou désactiver à nouveau les cookies.
Ce site utilise Google Analytics pour collecter des informations anonymes telles que le nombre de visiteurs du site et les pages les plus populaires.
Garder ce cookie activé nous aide à améliorer notre site Web.
Veuillez activer d’abord les cookies strictement nécessaires pour que nous puissions enregistrer vos préférences !