La DeFi une nouvelle fois victime d’une attaque – 300 000 dollars envolés
20 avril 2020 - 11:00
Temps de lecture : 2 minutes
Par Hugh B.
Les temps sont compliqués pour la Finance Décentralisée. L’année 2020 s’annonçait sous les meilleurs auspices, mais l’aventure est en train de tourner au naufrage. En cause, une nouvelle attaque d’un montant de 300 000 dollars en Bitcoin et Ethereum. Il s’agirait cette fois du protocole de financement décentralisé chinois dForce. Ce n’est malheureusement pas la première mésaventure de ce type qui frappe la DeFi depuis quelques mois. Cela commence même à ressembler à une mauvaise habitude.
Cela se résume peut-être simplement à l’adage qui dit que l’on devient la victime de son succès. Car c’est bien ce qui était au rendez-vous pour la DeFi en ce début d’année 2020. Son évolution ne cessait de connaître de nouveaux records. L’enthousiasme de la cryptosphère en faisait le projet phare de cette année qui débutait. Et cette envolée semble maintenant se mesurer à la quantité de déconvenues qu’elle rencontre. Car ce n’est pas la première fois que la Finance Décentralisée subit ce genre de détournement malveillant. Le protocole bZx avait « perdu » 350 000 dollars en février. Comme quoi l’évolution, même exceptionnelle ne doit pas se soustraire à la mise en place de protocoles de sécurité contrôlés et sérieux.
Une vulnérabilité identifiée 16 mois plus tôt
L’attaque a été orchestrée de main de maître. L’univers de la DeFi est complexe, et les actes malveillants dont elle est victime sont le fait de spécialistes des processus internes de ces protocoles. Il s’agit ici d’un pool basé sur Uniswap qu’un utilisateur a réussi à vider de ses ETH et d’une version imBTC du Bitcoin. Le butin total s’élève à 300 000 dollars. Une information révélée sur Twitter par Julien Bouteloup, spécialiste de la blockchain appliquée à l’univers de la DeFi.
Mais le plus gros problème dans cette affaire n’est pas ce détournement d’un montant de 300 000 dollars. Le point inquiétant, signalé par Julien Bouteloup, est que ce défaut était connu depuis plus de 16 mois et qu’il avait été publié sur GitHub. Une sorte de notice de détournement de fonds à laquelle personne n’a semble-t-il pensé à trouver une solution. Cela va peut-être devenir une priorité.
Restons connectés
7,831 followers
17,800 followers
136,000 followers
1,246 followers