Hack et le Haricot magique – Le protocole Beanstalk perd 180M$

Au moins le secteur de la DeFi a-t-il la gentillesse de fournir des noms de protocoles amusants. En tout cas assez pour permettre de faire des jeux de mots douteux, alors que l’ambiance est une nouvelle fois à l’attaque. Car la liste des projets victimes de détournements de fonds spectaculaires ne cesse de s’allonger. Avec des procédures parfois innovantes, et d’autres tout juste copiées/collées sur le modèle du code qui en est la cible. Mais dans le même temps, des montants toujours plus importants qui laissent imaginer de nouveaux records pour 2022. Car ce sont plus de 180 millions de dollars qui viennent de disparaître des caisses de Beanstalk (Haricot magique). Et Jack se la joue une nouvelle fois hacker au grand cœur…

Difficile de conserver une notion à peu près réaliste de la valeur de l’argent dans le secteur des cryptomonnaies. Car pendant que l’on économise sur le montant des courses, on se précipite pour acheter le dernier NFT à la mode dont le prix est de « seulement » 0,1 ETH (environ 300$). Et dans le même temps, des protocoles de la DeFi perdent des dizaines de millions de dollars chaque semaine. Cela dans une indifférence presque générale, agrémentée de quelques railleries de réseaux sociaux.

Finance Décentralisée (DeFi)

1,4 milliard de dollars - L'ardoise exorbitante des attaques DeFi pour 2021

Hugh B. - 06 Nov 2021 - 09:00

La DeFi est connue pour deux raisons essentielles qui sont malheureusement [...]

Lire la suite >>

Au point de se demander si le record de 1,4 milliard de dollars de l’année dernière ne pourrait pas rapidement être dépassé. Car en ce 18 avril, le total déjà enregistré – et calculé à la louche – fait état de plus de 1 milliard de dollars de pertes. Avec comme record incontesté, le dépouillage en règle de la blockchain Ronin (RON) du jeu Axie Infinity (AXS) d’un montant de 620 millions de dollars à lui-seul. Et cela sans y ajouter les opérations de phishing et autres hacks de plateformes centralisées. Car il est question dans le cas présent de détournements de fonds décentralisés.

Beanstalk – Une « attaque » qui n’en est pas une ?

Et la dernière actualité en date dans le domaine concerne donc le protocole de prêt du nom de Beanstalk (BEAN). Ce dernier victime d’une attaque dont le préjudice total est estimé à plus de 180 millions de dollars. Et cela même si le hacker – que l’on nommera au hasard Jack – n’a pu repartir qu’avec l’équivalent de 75 millions de dollars dans son escarcelle. Est-ce parce qu’il était trop difficile de redescendre du Haricot magique avec la totalité des fonds ? Quoi qu’il en soit, la perte pour Beanstalk Farms représenterait la totalité des cryptomonnaies déposées en garantie pour son « stablecoin décentralisé BEAN basé sur le crédit. »

« Nous engageons tous les efforts pour essayer d’aller de l’avant. En tant que projet décentralisé, nous demandons à la communauté DeFi et aux experts en analyse de chaîne de nous aider à limiter la capacité de l’exploiteur à retirer des fonds via les CEX. Si l’exploiteur est ouvert à la discussion, nous le sommes aussi. »

Beanstalk

Mais dans les faits, les distinctions et autres amalgames sont déjà à l’œuvre pour tenter de définir la procédure et le statut de cette opération. Car il semble que pour certains cela ne soit pas une « attaque » à proprement parler. En tout cas si l’on considère que la manipulation communautaire n’est rien d’autre qu’une astuce judicieuse mise en place par Jack. Et que le confortable argument du « code is law » lui a ensuite permis de dépouiller un protocole et ses investisseurs de l’intégralité de leurs fonds. Car les smart contracts et les procédures de gouvernance ont finalement été utilisés comme cela était autorisé par Beanstalk. Mais avec un résultat très différent de celui escompté.

Beanstalk – Entre flashloan et gouvernance

Partons néanmoins du principe que l’individu est plus responsable que le code qu’il utilise. Et que même rendue techniquement possible, cette opération reste condamnable et donc à ranger dans la catégorie des attaques. Avec comme point de départ, deux propositions de gouvernance suspectes émises le 16 avril dernier. Ces dernières soigneusement emballées dans une procédure de don au profit de l’Ukraine. Mais de toute évidence assorties « d’un avenant malveillant. » Et afin de s’assurer de leur adoption, le déclenchement d’un prêt flash loan d’un montant astronomique de 1 milliard de dollars. Cela afin d’utiliser ces fonds pour obtenir les 67% de pouvoir de gouvernance nécessaire pour en approuver la mise en place.

Finance Décentralisée (DeFi)

Prêts flash loan vs centralisation - Qui est le véritable ennemi de la DeFi ?

Hugh B. - 12 Nov 2020 - 10:18

Chaque innovation technologique repose sur une force qui devient le pilier de [...]

Lire la suite >>

Une attaque trop rapidement appelée « flash loan. » Car comme toujours, ce n’est pas l’outil qui fait le sal boulot, mais bien celui qui en détourne les fonctionnalités innovantes à des fins funestes. Et dans le cas présent, Jack commence à accumuler les casseroles. Car le montant total ainsi obtenu (volé ?) est actuellement estimé à 25 000 ETH (environ 75 millions de dollars). Mais ce bilan pourrait bien s’alourdir

Beanstalk s’étrangle avec son Haricot (BEAN) magique

Et la conséquence ne s’est pas fait attendre. Avec un effondrement du stablecoin BEAN développé par le protocole Beanstalk. Ce dernier détaché de son ancrage au dollar et actuellement positionné à 0,11$ au moment de la rédaction de cet article. Sois une chute de 88% à l’heure actuelle, mais de plus de 95% au plus fort de cette baisse (0,06$). Et cela sans véritable perspective de retour à la normale dans un avenir proche.

Une nouvelle fois, le protocole victime de l’attaque ouvre la porte aux négociations avec le responsable de cette vidange en règle. Et cela alors même que ce dernier a effectivement réalisé un don à l’Ukraine d’un montant de 250 000$ (0,3% de son pactole). Un versement opéré juste avant d’avoir été nettoyer ses fonds en ETH à l’aide du mixeur Tornado Cash. Histoire que tout le monde soit bien au courant de sa « générosité » quelque peu douteuse. Mais quoi qu’il arrive, des perspectives bien sombres pour le projet Beanstalk, si l’on se fie aux déclarations de l’un de ses fondateurs sur Discord :

« Honnêtement, je ne sais pas quoi dire. Nous sommes foutus. Ce projet ne bénéficie d’aucun soutien financier, il est donc très peu probable qu’il y ait un quelconque renflouement. »

Publius

Mais rappelez-vous, ce n’est pas vraiment une attaque !