Un hacker « white hat » sauve Sushiswap d’une attaque de 350 millions de dollars

L’univers des hackers de la DeFi se divise en deux catégories distinctes. D’un côté ceux qui cherchent des failles pour s’enrichir par millions. De l’autre ces mystérieux white hat dont le but est d’identifier les exploits éventuels et d’en avertir les développeurs du projet concerné. Ces derniers bien souvent issus de structures d’expertise en sécurité informatique et récompensés pour leurs découvertes. Et c’est par une chance insolente que la plateforme Sushiswap vient de faire les frais d’une « attaque » de la part de l’un d’entre eux. Une faille de sécurité dont l’exploitation aurait pu entraîner la perte de 350 millions de dollars…

Cet article parle d’une énième attaque résultant d’une faille dans le code d’un protocole majeur de la DeFi. Mais pour une fois, ce sujet aussi douloureux que lassant peut être abordé de manière plus positive. Car il s’agit dans le cas présent d’une opération menée par ce que l’on nomme un white hat. C’est-à-dire un spécialiste en sécurité informatique qui a testé un bug dans la matrice du site de Minimal Initial Sushiswap Offering (MISO) de la plateforme Sushiswap. Mais avec cette petite différence non négligeable de ne pas en avoir profité pour se remplir les poches.

Une actualité qui ne va pas aider à redorer le blason de ce DEX aussi sulfureux que polémique. Et dont la dernière campagne de communication reposait sur une accusation de favoritisme de la part du projet Optimism vis-à-vis de son concurrent direct et leader du secteur que représente Uniswap. Une différence de traitement exposée sur Twitter en mode Calimero : « c’est vraiment trop injuste ». Mais qui nécessite de rappeler que Sushiswap s’est construite sur le vol revendiqué et vampirique des liquidity providers d’Uniswap. Mais il semble que le SUSHI ait la mémoire plutôt courte et sélective…

Sushiswap échappe à une attaque de 350 M$

C’est pourtant bien le DEX Sushiswap qui se trouve actuellement au centre d’une affaire d’exploitation de faille. Une erreur dans le code de programmation de sa plateforme de lancement de nouvelles cryptomonnaies (launchpad) du nom de MISO. Et qui a été mise à jour par un spécialiste en sécurité informatique lié à la structure d’investissement Paradigm. Cette dernière fortement exposée à la cryptomonnaie UNI de la plateforme Uniswap. Comme quoi, la revanche ne se conçoit pas toujours de la même manière dans les deux camps d’une concurrence acharnée. Ce que certains acteurs de la cryptosphère ne manquent pas de noter comme « la philosophie de cet univers » des cryptomonnaies.

« Je viens peut-être d’effectuer le plus grand sauvetage whitehat jamais réalisé. » – Samczsun

Et la perte ainsi évitée par cette attaque éthique n’a rien de négligeable. Car ce ne sont pas moins de 109 000 ETH qui auraient pu être dérobés grâce à la découverte malveillante de cette faille. Ce qui représentait plus de 350 millions de dollars au moment de sa découverte. Soit la totalité des fonds détenus dans le contrat d’enchère néerlandaise du site MISO. Car ce qu’a mis à jour Samczsun n’était à l’origine que la possibilité de réutiliser sans limite les mêmes ETH pour « enchérir gratuitement ». Mais rapidement cela s’est transformé en une autre faille qui aurait visiblement permis à un attaquant de voler l’intégralité des fonds du contrat. Cela en envoyant un montant en ETH supérieur au plafond strict de l’enchère. Ce qui aurait à terme déclenché un remboursement plus que problématique.

« Je ne m’attendais pas vraiment à ce que ce soit une vulnérabilité, car je ne m’attendais pas à ce que l’équipe Sushi fasse un faux pas aussi évident. (…) Soudain, ma petite vulnérabilité est devenue beaucoup plus grande. Je n’avais pas affaire à un bug qui vous permettrait de surenchérir sur les autres participants. Je regardais un bug de 350 millions de dollars. » – Samczsun

Les fonds des utilisateurs sont en sécurité

Une fois cette faille découverte et validée par ses collègues, l’expert en sécurité a immédiatement prévenu le directeur technique de la plateforme Sushiswap. Cela afin de colmater cette brèche avant qu’elle de devienne la porte d’entrée de la prochaine attaque majeure de la DeFi. Ce qui a donné lieu à un plan de sauvetage de la part de la structure BitDAO en charge de cette vente aux enchères. Une procédure dont l’exécution est passée par le rachat manuel et immédiat de la totalité de l’allocation encore disponible sur le contrat concerné. Cela afin de finaliser la procédure d’enchère et de suspendre son utilisation dans l’attente d’une mise à jour.

Une opération au cours de laquelle Sushiswap affirme qu’aucun fonds de ses utilisateurs n’a été perdu. Et qui n’a pas empêché la vente de jetons BIT du projet BitDAO de se clôturer avec un montant récolté de 112 000 ETH. Une bonne nouvelle qui ne permet pourtant pas d’ignorer la catastrophe évitée de justesse. Et qui laisse espérer que plus d’attaques potentielles de ce type seront dorénavant découvertes par ce genre de hackers éthiques. Car envisager qu’il n’y aura plus de failles à exploiter dans les nombreux protocoles de la DeFi semble pour le moment tenir de l’utopie…