Hack DeFi – Aussitôt lancé ce protocole s’est fait nettoyer

L’actualité qui entoure le développement de la DeFi n’affiche pas toujours des records que l’on peut présenter comme positifs. Elle reste pourtant – et de loin – la première pourvoyeuse de revenus pour les hackers et autres petits malins de la scène crypto. Cela avec des détournements de leurs protocoles aussi inventifs que lucratifs, mais pas pour leurs utilisateurs en première ligne pour en assumer les pertes. Une régularité qui finit pas mettre en doute les capacités des développeurs de ces services financiers. Surtout dans le cas présent avec le projet Force DAO. 

Il n’y a pas besoin de longs discours pour expliquer que la DeFi est actuellement l’un des domaines les plus créatifs en matière de finance et de gestion monétaire. Un constat qui peut sembler logique de la part d’une cryptosphère qui en tire la plupart de ses bénéfices actuels. Mais depuis peu cette vision semble sortir de ce microcosme pour devenir le futur de la finance sans fraude aux yeux de certains régulateurs. Une vision qui émane directement de son principe de décentralisation sur lequel elle repose. Mais qui ne l’empêche pas de devoir faire face à des pertes importantes liées à des attaques à répétition.

Une réalité qui est certainement le seul véritable bilan catastrophique de la DeFi. Cela avec des montants détournés qui ne cessent d’enregistrer des préjudices toujours plus importants. Le tout avec des opérations aussi rapides qu’efficaces qui finissent par rapporter des millions de dollars à leurs initiateurs. Mais qui ne servent apparemment pas de leçons à un univers que même les audits ne permettent plus de sécuriser. Et qui font de cet espace de la finance 2.0 un terrain de jeu pour hackers bien plus qu’une alternative solide à la finance traditionnelle.

Force DAO se fait voler 183 ETH

Un constat difficile qui peut être excusé en partie par le caractère très créatif de cet univers. Et qui fait que malheureusement les premiers utilisateurs essuient bien souvent les plâtres avant l’arrivée d’une adoption plus large. Ce qui ne les empêche pas de réaliser de beaux bénéfices avec des projets sérieux qui permettent de largement surperformer le Bitcoin. Mais uniquement pour les amateurs de risque qui intègrent à leurs portefeuilles une option pertes brutales qui doit rester maîtrisée autant que possible.

Car la dernière actualité dans le domaine remet une nouvelle fois les pendules à l’heure. Cela avec cette attaque du tout nouveau protocole Force DAO. Un lancement en forme de catastrophe puisqu’elle est intervenue moins de 24h après sa mise en place. Et que dimanche dans la matinée le contrat de gestion  des jetons xFORCE avait été exploité et les fonds détenus intégralement vidés.

« ATTENTION. Notre équipe est au courant de l’exploit du contrat xFORCE et a identifié la nature du problème. Il n’y a plus de fonds disponibles sur le contrat xFORCE à exploiter. Tous les autres coffres sont sûrs. Nous fournirons un post-mortem et les prochaines étapes au cours des prochaines heures. » – Force DAO

Le bilan de cette attaque fait état de 183 ETH définitivement perdus, soit environ 370 000 dollars au moment de cette opération. Mais tout cela aurait pu avoir des conséquences bien plus graves si le hacker principal n’avait pas été ce que l’on appelle un white hat. C’est-à-dire un gentil qui vient juste tester les failles d’un système mais sans conserver son butin.

Une attaque qui aurait pu être évitée

Une identité de Robin des cryptos qui n’a pourtant pas été sans conséquences. Car avant même l’annonce officielle de cette attaque, la quasi-totalité de la toute jeune communauté du protocole Force DAO avait retiré les fonds de ses divers contrats. Ce qui a inévitablement entraîné une chute vertigineuse du cours de son jeton FORCE de plus de 95%. Le tout pour passer de 1,37$ à moins de 0,025$ en l’espace d’à peine un peu plus d’un quart d’heure. Et un prix qui se trouve actuellement à 0,1$ au moment de la rédaction de cet article. 

Mais l’information principale en relation à cette attaque est ailleurs. Et il s’agit dans le cas présent de la responsabilité de l’équipe de développeurs qui se trouvent derrière ce projet. Car il semble que la mise en place de leur protocole se soit accompagnée de quelques négligences. Et en particulier dans le cadre de l’utilisation d’un contrat obsolète au bug déjà connu et identifié depuis plusieurs années. 

Ce qui est très clairement expliqué dans un thread publié sur Twitter par Mudit Gutpa. Ce dernier expert en sécurité et développement dans le domaine de la blockchain pour la structure Polymath. 

« Il s’agit d’un bug bien connu / courant dans le monde de Solidity. Il est presque certain qu’aucun expert en sécurité n’a examiné ces contrats. Force DAO a de la chance que le pirate ait rendu les fonds. » – Mudit Gupta

Les développeurs du projet tentent de minimiser l’impact de tout cela dans le post mortem publié hier. Document où ils expliquent qu’ils « continueront à remplir la mission qu’ils se sont fixée. » Et qui expose en détail leur tentative de contrer cette exploitation de faille qui compte au final 5 attaquants et non pas un seul.

Entre white hat et black hat

Car la véritable question est : pourquoi manque-t-il 183 ETH si l’attaquant n’avait pas de mauvaises intentions ? Tout simplement car l’arrivée de ce white hat n’aura pas eue pour seule conséquence de faire s’effondrer le cours du jeton FORCE. En effet, la porte qu’il a ainsi ouverte a été l’occasion pour d’autres hackers moins bien intentionnés de s’y engouffrer. Ce qui leur a permis de dérober cette somme avant que l’équipe du projet ne puisse intervenir.

Une réalité qui a poussé les développeur du projet à tenter de minimiser la casse. Cela en réalisant une procédure de type dernière chance. Ce qui a pris la forme d’un transfert de 60 millions de jetons FORCE de leur trésorerie vers un portefeuille de déploiement. Le tout afin de créer et exécuter 3 votes qui sont censés avoir détruit (burn) efficacement les soldes de jetons FORCE sur les adresses de trois des attaquants malveillants (Black Hat).

Il semble donc que tout cela soit une affaire résolue. En tout cas du point de vue de cette attaque qui a tout d’une belle preuve d’amateurisme. Et qui met en évidence la nécessité de bien mesurer le sérieux de son placement avant de se précipiter. Car le risque est bien réel dans le domaine. Et les pertes définitives dans la majorité des cas. 

Cela surtout si le sérieux nécessaire n’est visiblement pas une préoccupation majeure des développeurs de certains de ces protocoles de la DeFi. Un fait que Mudit Gupta souligne en expliquant à ces derniers de bien vouloir « ne pas lancer vos produits sans audits ou au moins un examen par des pairs. » À bon entendeur… Et ce sera la conclusion de cet article.