Attaque DeFi sur la BSC – Il repart avec 30 millions de dollars pour 66$ de frais

03 mai 2021 - 11:00

Temps de lecture : 5 minutes

Par Hugh B.

Les attaques qui entachent et secouent régulièrement l’univers de la DeFi ne connaissent pas de pause. Ni même de problématique de type cross-chain puisque les frontières ne semblent pas freiner les amateurs de détournement de fonds numériques. Des opérations souvent aussi rapides que (très) rentables. Et qui reposent la plupart du temps et cette fois encore sur l’utilisation de prêts flashloans. Cela afin d’exploiter les failles de ces protocoles qui se développent plus vite qu’ils ne sécurisent leurs codes. Une activité qui semble de toute évidence se concentrer actuellement sur la Binance Smart Chain. Et la dernière victime en date est le protocole Spartan qui vient de se faire dérober plus de 30 millions de dollars. 

Les attaques des protocoles de la DeFi ne sont malheureusement pas des faits isolés. Elles interviennent comme des rappels parfois violents à l’attention des investisseurs de ce secteur. Une manière de bien remettre au centre des opérations les risques inhérents à toute prise de position dans le domaine. Cela qu’il s’agisse de protocoles dont le code a été vérifié par un audit extérieur. Ou de projets développés au sein de la Binance Smart Chain que certains pensent plus sûrs du fait de sa relation avec la plateforme du même nom.

Mais rien ne permet de s’assurer que la prochaine victime de ce type d’attaque ne sera pas ce placement prometteur sur lequel vous avez misé une partie importante de vos fonds. Ce qui pourrait en faire le prochain succès de la DeFi, mais pas dans le domaine souhaité. Le tout avec des montants volés qui se comptabilisent désormais en dizaines de millions de dollars. Et des procédures dont la répétition commence à ressembler à une mauvaise blague. Une réalité à laquelle n’a pas échappé le protocole Spartan de la BSC.

30 millions de dollars envolés

Cette attaque de type exploitation de faille (exploit) a eu lieu durant la journée du 1er mai. Le tout selon une procédure qui met une nouvelle fois au centre des opérations ces prêts controversés de type flashloans. Des outils financiers révolutionnaires qui offrent la possibilité de réaliser des opérations importantes avec un capital de base ridiculement faible. Mais qui par la même occasion permettent d’alimenter certaines attaques qui nécessitent un apport de liquidité important pour déstabiliser le bon fonctionnement d’un protocole. Ce qui a très exactement été le cas dans cette affaire. Le tout avec comme point de départ la plateforme Pancakeswap et le règlement de 66$ de frais de transaction. Et oui, nous ne sommes pas sur le réseau Ethereum !

Attaques prêts flashloan vs centralisation – Qui est le véritable ennemi de la DeFi ?

Durant le week-end, le protocole Spartan est tombé aux mains de l’ennemi. Cela suite à une attaque qui a permis à son initiateur de vider l’intégralité d’un pool de liquidité SPARTA/WBNB. Ce qui en fait la 6e plus importante dans le domaine selon le classement quelque peu grinçant du site Retk News. Le tout avec un butin estimé actuellement à plus de 30 millions de dollars. Et suite à une procédure qui a débuté par un prêt flashloan d’un montant de 10 000 WBNB contracté auprès de la plateforme Pancakeswap. Ce qui a permis à l’attaquant de profiter d’une faille dans le principe de burn en relation à la récupération des fonds par les liquidity providers (LP).

« Un prêt flash a été utilisé pour gonfler le solde du pool avant de brûler le même montant de jetons de pool, leur permettant de réclamer un montant beaucoup plus important d’actifs sous-jacents. » – Spartan Protocol

Une opération millimétrée qui s’est déroulée en plusieurs étapes successives. Cela en passant par différentes plateformes comme 1inch, Curve ou Anyswap. Le tout ayant entraîné la perte d’un tiers du montant du fait des différents effets de glissement (slippage) . Mais pour un total qui s’élève tout de même au final à 219,5 BTC (12,4 millions de dollars) et 3311 ETH (9,7 millions de dollars).

Un « copié/collé » qui se rebiffe

Mais le plus surprenant dans cette histoire n’est même pas réellement le montant de cette attaque. Il s’agit bien plus de ce qu’elle implique et surtout de ce qu’elle fait remonter à la surface dans le domaine de la DeFi. Un univers actuellement et déjà en pleine mutation. Et cela seulement après une mise en place historique qui peut tout juste commencer à se comptabiliser en années. Une situation qui oppose sa version initiale développée sur le réseau Ethereum à sa principale concurrente actuelle qu’est la Binance Smart Chain. Ce réseau souvent présenté comme un simple copié/collé de la précédente. Et qui ferait du protocole Spartan un simple clone de Synthetix (SNX).

Et bien plus que l’attaque dont il vient d’être victime, c’est à ce type d’accusations que le protocole Spartan semble bien plus motivé à faire face. Cela dans une longue publication sur Twitter qui expose les griefs que ce dernier semble entretenir avec certains acteurs du secteur. Et en particulier un membre de l’équipe du protocole Synthetix, un journaliste du média The Block et l’un des membres fondateurs de la plateforme Curve. Ces derniers accusés de répandre de fausses informations à son sujet. En particulier sur son caractère non audité ou à propos de sa copie effective ou fantasmée.

« Ce fil va appeler certaines personnes pour des informations fausses, biaisées, ignorantes ou négligentes sur Spartan Protocol. »

Attaque du protocole Spartan

Une drôle de manière de faire son mea culpa suite à une attaque qui vient tout de même de voir disparaître plus de 30 millions de dollars de ses investisseurs. Et qui n’est au final que le résultat d’une faille dont la responsabilité incombe à leur équipe de développement, qu’ils aient copié ou non le code utilisé. Ce que ces derniers présentent comme un simple « bug » ou « incident » sur leur compte Twitter. Cela dans un scénario qui ne semble pourtant pas envisager de voir réapparaître un centime de ces fonds disparus.

Une attaque qui n’a visiblement pas trop secoué le cours du jeton SPARTAN. Ce dernier affiche effectivement une surprenante hausse de plus de 40% sur les dernières 24h.

Cours SPARTAN protocol

Et Binance dans tout ça ?

Un constat qui pose en tout cas une nouvelle fois la question du rôle effectif de la plateforme Binance au centre de cet écosystème. Cela en relation à une Binance Smart Chain dont la forte centralisation ne semble absolument pas mise en service d’une plus grande sécurité de ses utilisateurs. Ce qui aurait pourtant pu (ou du) être l’un de ses principaux avantages. Surtout lorsque l’on sait que son fondateur  Changpeng Zhao a déjà joué les sauveurs dans ce genre de cas de figure. Alors pourquoi pas maintenant également ?

« À quel point devez-vous vous faire arnaquer pour que CZ intervienne et vous sauve ? » – Rekt News

Meerkat Finance – Le scam qui remet Binance au centre de sa Smart Chain

Une question qui a du sens, même si elle n’est pas du goût de tout le monde. Car les pertes qu’entraînent les attaques de protocoles décentralisés sur le réseau Ethereum ne peuvent pas être reprochées à quelqu’un d’autre qu’aux différents individus impliqués. Cela qu’il s’agisse du développeur du code exploité, de l’attaquant lui-même ou de l’investisseur que l’on pourrait qualifier d’imprudent.

Ce qui n’est définitivement pas la même chose lorsqu’une entreprise aux bénéfices records est clairement associée au réseau victime de l’une de ces attaques. Ce qui est sans aucun doute possible le cas pour la Binance Smart Chain. Une problématique qui devra certainement trouver une réponse à un moment ou à un autre. Que celle-ci soit communautaire ou légale…

 

Recevez le top 3 de l'actualité crypto chaque dimanche