DeFi – 150M$ envolés suite aux attaques des protocoles MonoX et Badger

Alors que tous les regards se tournent vers les projets de métavers, la DeFi poursuit son introspection forcée à coup de nouvelles attaques aux montants spectaculaires. Au point de ne plus réellement justifier un article lorsque les pertes enregistrées sont inférieures à plusieurs dizaines de millions de dollars. Une situation que rien ne semble pouvoir arranger, puisque même en possession d’audits confirmés la série noire se poursuit. Avec comme dernières victimes de ces exploitations de failles les protocoles MonoX (MONO) et Badger (BADGER). Et une facture au montant historique supérieure à 150 millions de dollars à adresser à leurs utilisateurs.

Le secteur de la DeFi se trouve à un tournant majeur dans le cadre de sa courte existence. Car son modèle économique et les rendements associés finissent par faire baver certains acteurs de la finance traditionnelle en manque de bénéfices attractifs. Au point de voir des responsables politiques vanter les énormes opportunités offertes par ce marché émergent. Alors que dans le même temps, ses protocoles tombent un à un dans les filets d’utilisateurs malveillants en quête de fonds à vidanger par millions. Avec cette impression désagréable de voir ce phénomène trouver comme seule véritable issue un fatalisme dont l’indolence s’impose face à toute volonté d’y remédier sérieusement.

Un fait sans cesse confirmé par une ardoise exorbitante de 1,4 milliard de dollars dont le montant final ne cesse de s’allonger au fil des semaines. Et un chiffre estimé pour la seule année 2021 même pas terminée dont on se demande quel nouveau record il pourra offrir à Noël. Cela pour des utilisateurs et liquidity providers bien souvent seuls à payer la facture. Et une stratégie de compensation des protocoles concernés dont la principale expression consiste à harceler les adresses des hackers déjà en possession des fonds dérobés. Et des développeurs comme dans le cas du projet Badger dont la capacité de réaction se résume à sous-estimer les avertissements reçus. Pour finalement finir par arriver sur le podium des plus grosses attaques de l’année, avec une perte estimée à 120 millions de dollars (pour le moment).

BadgerDAO responsable de la perte de 150M$ ?

Tout cela a commencé jeudi dernier avec la mise en place d’une attaque de type « front-end » contre le protocole BadgerDAO. Un projet dont la vocation est de permettre aux détenteurs de Bitcoin d’accéder aux rendements de la DeFi sans se défaire de leurs précieux BTC. Cela sous la forme de différents « vaults » (coffre-forts) de toute évidence à l’origine des pertes enregistrées. Car durant la nuit 2 décembre, un utilisateur malveillant à détourné le processus d’approbation de cette application. Avec comme objectif – visiblement atteint – de rediriger les cryptomonnaies vers son portefeuille personnel. Un problème de sécurité visiblement porté à la connaissance des développeurs de Badger quelques jours plus tôt…

« Donc, quelqu’un sur le discord BADGER a signalé l’exploit d’augmentation de l’allocation sur l’interface utilisateur de Badger il y a quelques jours. Malheureusement, l’équipe l’a écarté. Si vos utilisateurs disent qu’on leur demande de faire des choses sur votre plateforme qui semblent étranges, S’IL VOUS PLAIT prenez-le au sérieux. » – 0xMoves

Une omission aux conséquences désastreuses, puisque cette opération a permis à l’attaquant de dérober la somme faramineuse de 120 millions de dollars. Cela sous la forme de BTC enrobés (wBTC), mais également de multiples jetons ERC20 développés sur le réseau Ethereum. Cependant, le plus surprenant reste ailleurs, car de toute évidence le premier cas d’approbation de l’adresse du hacker remonte en fait à près de deux semaines. Et ce sont au final plus de 500 adresses différentes qui auraient été compromises par cette approbation de confiance usurpée. Oups !

« Plus de 500 adresses ont approuvé l’adresse du hacker : 0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107. Pour vérifier vos autorisations et les révoquer, allez sur etherscan.io/tokenapprovalchecker. » – RektNews

MonoX et ses pools de « cryptomonnaies uniques »

Et comme chaque nouvelle attaque de la DeFi ne représente que l’étape avant la suivante, le protocole MonoX est venu inscrire son nom sur cette fosse numérique en approfondissement permanent. Cette fois avec un préjudice estimé à 31 millions de dollars. Cela suite à deux attaques consécutives dont la procédure s’est basée sur une manipulation du cours de sa cryptomonnaie native MONO. Et la mise à profit de son modèle de fonctionnement présenté comme innovant, car il permet de faire reposer son DEX sur un système de pools de liquidité à « cryptomonnaies uniques »… véritable autoroute pour ce nettoyage éclair.

Car une première attaque a permis de retirer 19,4 millions de dollars des pools de liquidité basés sur le réseau Polygon (MATIC). Le tout en un peu moins d’un quart d’heure et juste avant de réaliser une opération identique sur la version Ethereum, pour un butin de 12 millions de dollars. Soit un total de 31 millions de dollars que les membres de ce projet sont en train d’essayer de récupérer.

« Ce matin, notre contrat a été exploité. Nous sommes désolés pour nos utilisateurs qui ont déposé des fonds. L’équipe enquête et fera de son mieux pour les récupérer. Nous remercions notre communauté pour son soutien. » – MonoX

Tous les smart contrats du protocole Badger sont actuellement à l’arrêt pour éviter que l’hémorragie ne se poursuive. Alors que de son côté le projet MonoX tente encore d’essayer de comprendre comment son code audité a 3 reprises a pu laisser passer une telle faille. Avec une communauté encore une fois en train de payer la facture en espérant que les compensations seront à la hauteur des pertes. Ce qui est rarement le cas dans ce genre de tentative de réparation numérique…