Piratage

Hack Levyathan (LEV) – Le « premier index » qui devient le dernier fiasco de la BSC

04 Août 2021 - 15:18

Il y a des informations qui déclenchent une hésitation furtive entre rire ou indignation. Mais qui très rapidement laissent place à une sorte de lassitude face à ce que l’on ne peut pas définir autrement que comme de l’incompétence. Une faculté qui semble depuis quelques semaines très présente au sein de la Binance Smart Chain. Ce qui n’est malheureusement qu’un simple constat même pas animé par une quelconque animosité vis-à-vis de ce réseau. Il suffit de voir le sabordage que vient de subir le projet Levyathan Index il y a quelques jours. Une erreur interne de débutant qui a enclenchée l’effondrement immédiat de son jeton LEV.

La DeFi est tout autant connue pour ce nouveau paradigme qu’elle est en train de développer que pour les attaques à répétition qu’elle subit. Et c’est bien cette seconde spécificité qui vient d’être encore une fois mise en avant avec le projet Levyathan Index. Une triste réalité qui implique inévitablement et en premier lieu la perte des fonds de ses utilisateurs. Mais qui permet également d’insister sur le caractère très risqué de ces placements. Cela même lorsque le projet concerné semble solide, ou suivi par une communauté aussi nombreuse qu’enthousiaste.

Une épidémie qui s’est emparée de la Binance Smart Chain (BSC) depuis quelques temps déjà. Et qui a vu des projets centraux comme la célèbre plateforme PancakeBunny passer du succès explosif à un mode survie en l’espace de seulement quelques heures. Cela suite à l’effondrement de son jeton BUNNY qui ne s’est toujours pas relevé de ces 90% perdus le 19 mai dernier. Et qui n’est que l’exemple parmi tant d’autres d’une absence de sécurisation des codes de ces protocoles souvent proches du copié/collé de leurs versions Ethereum. Mais cela de toute évidence sans avoir pris le temps d’en supprimer les différents bugs et défauts…

Le Levyathan index (LEV) s’effondre

Et voici venir le prometteur et très populaire Levyathan Index. Ce dernier se présentant comme le tout premier du genre dans le domaine de la DeFi version Binance Smart Chain. Un lancement très attendu qui a rencontré un succès à l’image de son effondrement actuel. Et dont les maîtres mots étaient une sécurité des fonds engagés associée à un lissage de la volatilité propre à ces outils financiers. De belles intentions sur le papier. Mais qui n’ont de toute évidence pas trouvé une réalisation aussi optimale dans la réalité.

« Avec Levyathan Index, profitez des performances du marché ou de la croissance d’un secteur spécifique et limitez les fluctuations de votre portefeuille. En faisant le choix de la Binance Smart Chain, Levyathan vous fait bénéficier de la sécurité, de la crédibilité et de la résilience du géant Binance. » – Levyathan Index

Car après ce qui ressemblait déjà plus à une descente aux enfers de 0,40$ à moins de 0,10$, le jetons LEV s’est soudainement et brutalement effondré le 30 juillet dernier. Cela suite à ce qui a été présenté comme une nouvelle attaque d’un protocole de la DeFi. Et dont la conséquence directe a été de le voir atteindre le prix presque nul de 0,00000020$ environ. Et cela en l’espace de tout au plus une heure montre en main.

Une situation tellement catastrophique qu’oublier un zéro ne fait plus réellement de différence, même pour ses plus gros investisseurs. Surtout si l’on considère que tout cela est la conséquence de la création (mint) de plus de 100 000 000 000 000 000 000 000 000 000 $ de jetons LEV. D’où cette absence d’importance de quelques zéros de plus ou de moins… Une procédure déclenchée par ce qui se révélera par la suite être plus compliqué – ou justement bien plus simple – qu’une énième attaque en règle. Et qui a rapidement mis en cause la responsabilité de l’un des membres de son équipe de développement. Mais également de la structure en charge de son audit.

Pas tes clés, pas tes cryptomonnaies

Une situation que les amoureux de l’ironie pourront se permettre de rapprocher de cette vérité qui fait que les clés privées font le seul véritable détenteur des cryptomonnaies concernées. Et que leur publication sur le site Github ne permet en rien de s’assurer de leur sécurité effective. Car c’est bien ce qui semble s’être passé dans cette affaire aux multiples rebondissements. Le tout confirmé dans une récente publication en forme de mea culpa rédigée par l’équipe du projet Levyathan Index. Mais également afin de préciser que cette attaque n’avait rien d’interne comme certaines données on-chain pouvaient le laisser penser. Car ce n’est au final même pas un hack, mais un simple retrait qui a été effectué avec les clés de la maison.

« Nous savons maintenant plus sur ce qui a conduit au hack de la propriété de Masterchef. Suite à une grande négligence de sa part, la clé privée du développeur était publique sur le Github, comme cela a été constaté par un utilisateur de Telegram. » – Levyathan Index

Une publication de cette clé privée que les responsables du projet Levyathan ne peuvent que reconnaître. Mais qui s’est ensuite aggravée avec un emballement de la fonction de retrait d’urgence. Et cette fois-ci une nouvelle négligence imputée à la structure d’audit du nom de Certik. Pas de chance !

Un bug dans les retraits d’urgence

Car un malheur n’arrive jamais seul. Et la panique reste indéniablement la pire ennemie de l’investisseur crypto. Une réalité qui a conduit les détenteurs de jetons LEV à se précipiter vers l’issue de secours de ce protocole. Cela sous la forme d’une option de retrait d’urgence à laquelle il manquait visiblement quelques options, comme par exemple un plafond. Le tout suite aux indications pas très avisées de la structure d’audit Certik qui avait visiblement conseillé d’en modifier les paramètres. Ce qui a entraîné et rendu possible le retrait d’un nombre de jetons LEV très largement supérieur à ceux détenus par les investisseurs.

« Des recommandations qui étaient complètement erronées et auraient conduit à un événement encore plus catastrophique en provoquant la perte totale des fonds sur les indices si le développeur avait entièrement suivi leurs conseils. » – Levyathan Index

Binance Smart Chain (BSC) – Un « putain de bordel » selon cet analyste

Une société Certik à laquelle l’équipe du Levyathan Index reproche de ne pas avoir « effectué les travaux pour lesquels nous les avons payés ». Ce qui a visiblement permis à une erreur de la fonction de retrait d’urgence de passer sous les radars de son audit. Et qui a entraîné le bug final de ce fiasco intégral. Et la colère d’investisseurs qui se fichent bien de savoir à qui revient quelle part de cet amoncellement de négligences. Surtout depuis que l’application concernée a été purement et totalement supprimée.

L’équipe du projet tente néanmoins de récupérer les fonds retirés en surplus par certains utilisateurs. Ce qui prête à sourire si l’on considère que cela représente actuellement quelques centimes de dollars tout au plus pour un investissement initial de 100 000$. Il ne reste plus qu’à leur souhaiter bien du courage…

Condensé de L'actu Crypto

Recevez le top 3 de l'actualité crypto chaque dimanche