Comment encaisser 40 000$ en détournant l’airdrop d’Uniswap (UNI) ?

Le maintenant très célèbre airdrop de la plateforme Uniswap (UNI) ne cesse de déclencher les passions sur les réseaux sociaux. Un événement déjà devenu historique qui divise la communauté entre ses 70 000 bénéficiaires officiels et les autres. Ces derniers commençant à revendiquer avec une fierté toute revancharde de ne jamais avoir utilisé ses services. Et pendant ce temps, un petit malin a réussi à détourner 40 000 $ de ce largage providentiel en toute tranquillité. 

Il n’est pas question de refaire une nouvelle fois cette histoire de l’airdrop d’Uniswap. Surtout lorsque l’on constate l’amertume des non-utilisateurs de la plateforme. Certains se demandant tout de même s’il fallait en acheter au moment où les autres hésitaient à revendre. Il faut dire que cet helicopter money version DeFi a permis aux plus malins de ses bénéficiaires de réaliser un bénéfice net de 3360$ seulement 24h après son lancement, lors de son ATH à 8,40$.

Un brouhaha communautaire sans précédent au sein duquel un petit malin à réussi à réaliser une opération aussi improbable que lucrative. Nous sommes après tout dans la DeFi et rien ne peut se passer sans un petit hack pour en valider l’authenticité. Un rite de passage qui aura tout de même rapporté la somme de 40 000$ à son instigateur.

Détournement de l’airdrop d’Uniswap

Tout cela a été mis à jour par hasard par un développeur du nom de Paul Razvan Berg. Il expose ses recherches sur le sujet dans un post sur Twitter publié le lendemain de l’airdrop. Tout cela étant passé totalement inaperçu dans le flot d’excitation sur le sujet.

« Je suis accidentellement tombé sur une armée de robots qui ont piraté des dizaines de portefeuilles Ethereum et volé leurs parachutages $UNI. Avez-vous récemment été piraté ? Si oui, veuillez nous contacter afin que nous puissions mettre en commun les informations et découvrir qui sont ces types. » – Paul Razvan Berg

Une découverte qui va déclencher les recherches approfondies d’un certain Nazariy.eth qui se présente comme tokenisé sur son compte Twitter. Et le résultat de cette enquête n’a pas tardé à mettre à jour un détournement massif de jetons UNI.  

Un butin de 102,52 ETH en jetons UNI

L’opération est exposée dans un article publié sur le site Medium. Elle concerne un grand nombre de clés privées qui auraient permis de rapporter des jetons UNI à un seul utilisateur. Et ce qui ressemblait de prime abord à un chanceux bénéficiaire de dizaines de comptes sur la plateforme Uniswap se transforme en un véritable hack.

« Par conséquent, un autre scénario plausible est que «l’attaquant» a déjà collecté un tas de clés privées. Si vous utilisez des opérateurs de recherche Google avancés, il est relativement facile d’en trouver des tas. » – Nazariy.eth

Bien sûr, cette attaque ne représente qu’une goutte d’eau au milieu des 532 millions de dollars d’UNI actuellement en circulation au cours de 5,50$ (96,8 millions d’unités). Ce qui devrait permettre à son auteur de ne pas être inquiété. Surtout qu’en réalité il est plus malin que réellement mal intentionné.

Un vol qui n’en est pas vraiment un

Car dans les faits, les adresses utilisées par cet attaquant étaient toutes effectivement inactives. Ce qui permet à l’auteur du compte rendu de cette opération de se poser la question de l’utilisation du terme de vol. Car s’il n’était pas venu les réclamer, ces jetons UNI auraient figuré dans la liste des cryptomonnaies perdues à tout jamais. 

« L ‘«attaquant» n’a rien volé non plus. Ce qu’il a fait, c’est montrer une fois de plus que peu importe à quel point vous êtes bien établi et audité, vous n’êtes jamais protégé à 100% contre les «hacks.» » – Nazariy.eth

Après un rapide calcul et compte tenu de la date de cette découverte, ce vol représente le détournement de tout au plus 25 adresses, si l’on considère le cours de l’UNI à 4$ au moment des faits. Il n’est donc pas question d’armée de robot ou de système automatisé, comme mentionné par Paul Razvan Berg lors de la découverte de cette opération. 

« Je terminerai en disant qu’il est remarquable que toutes les transactions de ce «hack» aient été manuelles. Il y avait juste quelqu’un assis devant son ordinateur et train d’appuyer sur les boutons Reclaim. » – Nazariy.eth

L’auteur de ce rapport précise tout de même que malgré la sympathie qu’il exprime pour l’initiateur de ce détournement, il n’en est pas à l’origine !