Attaque X-Bridge – 80M$ envolés et nouveau « record » de la DeFi pour 2022

Les attaques de protocoles de la DeFi finissent par devenir la norme dans le secteur des cryptomonnaies. Et une sorte de piqure de rappel, dont les effets sont de moins en moins effectifs au fil du temps. Alors qu’en parallèle, les montants dérobés continuent d’augmenter et de se comptabiliser par dizaines de millions de dollars. Un tableau de chasse auquel vient d’être épinglé le protocole Qubit Finance (QBT) et sa plateforme X-Bridge. Avec une perte pour l’instant estimée à plus de 80 millions de dollars.

Il serait peut-être important de rappeler aux hackers et autres développeurs de protocoles de la DeFi que le montant « record » des attaques enregistrées en 2020 n’est pas à battre. Car alors même que le mois de janvier n’est pas terminé, cette ardoise dépasse déjà les 100 millions de dollars. Avec cette distinction maintenant nécessaire entre montant dérobé « brut » et « net. » Cela du fait de cette nouvelle technique de récupération des fonds qui consiste à supplier l’attaquant, plutôt qu’à bien verrouiller le code de son projet.

Un exercice de style douteux que semble vouloir emprunter le protocole Qubit Finance. Car sa plateforme X-Bridge érigée entre le réseau Ethereum et la Binance Smart Chain (BSC) vient de rencontrer quelques complications inattendues. Avec comme résultat, une perte « brute » pour le moment estimée à 80 millions de dollars. Ce qui lui permet d’établir le nouveau « record » – certainement provisoire – pour ce début d’année qui ne fait que commencer. Doit-on les féliciter ?

X-Bridge – une attaque estimée à 80M$

Difficile de passer à côté des métaphores de type architecturales dans le cas de cette attaque d’une plateforme de passerelle (bridge). Ces ponts érigés entre différents réseaux afin de pouvoir transférer ses cryptomonnaies de l’un à l’autre. Et dans le cas présent d’opérer une mutation entre ERC-20 du réseau Ethrereum et BEP-20 de la Binance Smart Chain. Des outils indispensables pour permettre de construire l’interopérabilité nécessaire au développement de cet écosystème. Mais dans le cas présent, il y avait visiblement un défaut dans la structure.

« Le protocole a été exploité par 0xd01ae1a708614948b2b5e0b7ab5be6afa01325c7. Le pirate a créé un xETH illimité pour emprunter sur BSC. L’équipe travaille actuellement avec des partenaires de sécurité et de réseau sur les prochaines étapes. Nous partagerons d’autres mises à jour lorsqu’elles seront disponibles. »

Qubit Finance

Car hier, un message alarmiste a été publié sur le compte Twitter de Qubit Finance. Ce dernier faisant état d’une attaque en cours. Avec comme première analyse à chaud, l’exploitation d’une faille dans le code de son protocole. Rien de bien nouveau sous le soleil de la DeFi. Si ce n’est la seule véritable interrogation dans le domaine. À savoir : la procédure utilisée par le hacker pour parvenir à ses fins. Et accessoirement le montant du butin dérobé… estimé à plus de 80 millions de dollars.

Une procédure qui a impliqué 185 millions de dollars

Tout cela a donc débuté dans la soirée du 27 janvier. Avec un attaquant qui a visiblement profité d’une « erreur logique » dans le code du smart contract de la plateforme X-Bridge. C’est en tout cas le terme utilisé par la structure CertiK dans son analyse. Une faille dans la « fonction de dépôt » dont la conséquence a été de lui permettre de retirer des jetons sur la Binance Smart Chain. Mais cela alors qu’aucune cryptomonnaie n’avait été déposée en parallèle sur Ethereum.

« À 21h34 UTC le 27 janvier 2022, un attaquant a commencé son exploit du pont Ethereum-BSC de Qubit Finance. Cet exploit a fini par leur permettre de gagner 77 162 qXETH (185 millions de dollars), qu’ils ont ensuite utilisés pour emprunter et convertir 15 688 wETH (37,6 millions de dollars), 767 BTC-B (28,5 millions de dollars), environ 9,5 millions de dollars dans diverses pièces stables et environ 5 millions de dollars en CAKE, BUNNY et MDX.« 

CertiK

Opération qui lui a donc permis de lever la somme de 185 millions de dollars, sous la forme de 77 162 qXETH. Ces derniers finalement utilisés pour emprunter et convertir le montant de son véritable butin. Ce qui en fait « de loin l’attaque la plus importante de 2022 à ce jour, » toujours selon la structure CertiK.

Cher attaquant, pourrais-tu rendre les fonds ?

Une procédure expliquée en détail dans le post mortem rédigé par les membres du projet Qubit. Cela afin « d’éviter tout exploit similaire à l’avenir, » car dans le cas présent l’affaire est déjà bien bouclée. Enfin, pas réellement si l’on en croit ces derniers. En effet, une lettre a été publiée hier afin de faire appel à la bonne volonté du responsable de cette attaque. Un courrier qui débute par un étrange « cher attaquant. » Et qui déroule ensuite la volonté de Qubit de trouver un moyen de récupérer les fonds impliqués. Même si cela doit passer par le versement d’une « prime maximale. »

Une bonne manière de rappeler à l’attaquant que les fonds dérobés proviennent de « milliers de personnes réelles, » victimes directes de cette attaque. Mais également d’oublier un peu trop vite que cette responsabilité incombait avant tout au projet Qubit. Avec comme principale porte d’entrée, la légèreté du développement de son code.

Quoi qu’il en soit, ce genre de supplications post mortem a déjà eu certains effets positifs notables. Comme dans le cas de l’exploitation d’une faille dans le code du protocole Poly Network et la perte historique et heureusement inégalée de 611 millions de dollars. Mais néanmoins presque intégralement retournés par le hacker, au terme de négociations surréalistes. Une opération à suivre dans le cas du protocole Qubit, car elle représente son unique et dernier recours avant la phase qui va consister à assumer les faits.