menu/actu icon

Actualités crypto
Toute l’actu sur les cryptos

menu/coinmarketcap icon

Cours crypto
Le cours des cryptos en direct

menu/staking icon

Staking
Déléguez vos cryptomonnaies

menu/encyclo icon

Encyclopédie du Coin
Améliorez vos connaissances sur les cryptos

menu/lexique icon

Lexique crypto
Toutes les définitions du monde de la crypto

menu/bonus icon

Bonus et réductions

menu/cate icon

Catégories

menu/guides icon

Guides crypto

Hack géant de Wormhole : des contrats non vérifiés à l’origine de la catastrophe

Aaaand it’s gone – Les bridges sont des éléments essentiels de l’écosystème DeFi. En effet, ces derniers permettent d’améliorer la liquidité de l’écosystème, en permettant aux flux monétaires d’aller d’une chaîne à l’autre. Cependant, en cas de hack, le risque systémique reste important. 

Des centaines de millions de dollars dérobés à Wormhole

Nous vous en parlions au lendemain des faits : le pont Wormhole a été la cible d’une attaque. Celui-ci relie Solana (SOL) à plusieurs autres blockchains, dont Ethereum (ETH), Terra (LUNA), Polygon (MATIC) ou encore Avalanche (AVAX).

Pour rappel, les ponts ou bridges sont des services permettant d’envoyer des fonds entre blockchains. Pour ce faire, les fonds sont bloqués sur un smart contract hébergé sur la blockchain A, avant d’être libérés sur la blockchain B de manière tokenisée

Ainsi, le mercredi 2 février aux alentours de 22 h, les équipes derrière Wormhole ont averti la communauté qu’une attaque était potentiellement en cours. 

Premier tweet de Wormhole concernant l'attaque
Première publication de Wormhole sur l’attaque – Source : Twitter

Rapidement, cette « potentielle » attaque est vérifiée, et le résultat tombe : l’attaquant a réussi à émettre 120 000 ETH sur la blockchain Solana, avant d’en envoyer 80 000 sur Ethereum. 

Cela a eu comme tragique conséquence d’entièrement vider les fonds du pont, entraînant une perte de la garantie des ETH évoluant sur Solana. Pour rappel, sur Solana, l’ETH est représenté par le wETH pour Wormhole ETH.

En parallèle, les ETH restants sur Solana ont été convertis en 422 000 SOL, soit environ 46,6 millions de dollars

Quelques heures après les faits, les développeurs de Wormhole ont annoncé avoir corrigé le bug après avoir mis en pause le protocole. 

Tweet annonçant la correction du bug de Wormhole
Publication de Wormhole annonçant la correction du bug – Source : Twitter

>> Exposez vous au Bitcoin sur Binance, 10% de réduction des frais avec ce lien (lien commercial) <<

Une tentative de récupération des fonds

Évidemment, les développeurs ont également tenté de prendre contact avec l’attaquant. Pour ce faire, ils lui ont envoyé un message via une transaction sur le réseau Ethereum. Leur objectif est clair : essayer de négocier une restitution des fonds en échange d’une généreuse récompense de 10 millions de dollars

Message envoyé par les développeurs de Wormhole au hacker pour négocier la restitution en échange de 10 millions de dollars
Message envoyé par les développeurs au hacker – Source : Etherscan

Pour le moment, l’attaquant n’a pas donné suite au message. 

L’identification du bug

Selon les premières investigations menées par l’entreprise spécialisée dans l’analyse de blockchain, Certik, l’attaquant aurait profité d’un manque de vérification des contrats. 

En effet, ce dernier a appelé la fonction complete_wrapped() en lui adossant plusieurs paramètres frauduleux. Malheureusement, aucune vérification de ces paramètres n’a été faite lors de la création des wETH sur Solana.

« Dans ce cas, les données usurpées seront transmises et traitées. L’autorité de mint pour les Wormhole ETH (wETH) est un PDA et signera l’instruction ‘mint’. Enfin, l’instruction ‘invoked_seed’ sera déclenchée avec succès et le Wormhole ETH sera minté par l’attaquant. »

Alors que l’ensemble de la communauté voyait déjà ses ETH envolés sur Solana, les équipes du projet ont rapidement annoncé avoir renfloué le pont. 

« Des ETH seront ajoutés au cours des prochaines heures pour s’assurer que le wETH est soutenu 1:1. Plus de détails à venir prochainement. »

Déclaration de Wormhole

Une question a ainsi soulevé l’ensemble de la communauté : d’ peuvent bien venir les 120 000 ETH utilisés pour renflouer Wormhole ? En pratique, il est fort probable que ce soit là un acte de FTX, que l’on sait très attaché au réseau Solana. 

Bien que cet événement prenne racine dans un contexte différent, les remarques émises par Vitalik Buterin au début de l’année concernant la sécurité des ponts restent tout à fait pertinentes. En effet, si les fonds dérobés avaient été renvoyés vers une plus petite blockchain, cela aurait pu avoir des répercussions systémiques.

Peur de succomber au FOMO ? Commencez par vous assurer d’évoluer dans un environnement sécurisant,

Que vous soyez amateur de DeFi, de Bitcoin ou d’une des cryptomonnaies qui peuplent le marché, il est indispensable que vous disposiez d’un compte sur Binance, l’acteur majeur de l’écosystème du trading. Vous économiserez 10% sur vos frais de trading en suivant ce lien (lien commercial).

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.

En voir +
menu/actu icon

Actualités crypto

menu/coinmarketcap icon

Cours crypto

menu/staking icon

Staking

menu/encyclo icon

Encyclopédie du Coin

menu/lexique icon

Lexique crypto

menu/bonus icon

Bonus et réductions

menu/cate icon

Catégories

menu/guides icon

Guides crypto

menu/kryll3 icon

Agent AI par Kryll