Le protocole bZx (encore) victime d’une attaque à hauteur de 8 millions de dollars

La folie qui a entouré la DeFi durant le mois d’août avait donné l’impression que les choses s’étaient apaisées dans le domaine des attaques à répétition dont elle était la victime. Il semble que la baisse actuelle des bénéfices liés à ses offres officielles réveille les appétits des hackers. Et c’est de nouveau le protocole de prêt bZx qui fait les frais d’une faiblesse de son code.

L’avertissement omniprésent qui tapisse les multiples sites des offres de la DeFi n’est pas une simple formule de politesse. Les risques sont bien réels pour ces protocoles, dont la plupart n’ont pas fait l’objet d’audits. Il suffit de rajouter à cela la précipitation avec laquelle certains projets sont lancés et le paysage d’un écosystème propice aux hackers est planté. 

Pourtant, le protocole bZx avait fait l’objet de ce type de contrôles de sécurité de son code. Ce qui lui permettait de se sentir exonéré de cet avertissement concernant les risques liés à l’utilisation de ses offres de prêts. Ce n’est pas la première fois que cette structure est victime d’une attaque. L’une d’elles ayant déjà rapporté plus de 350 000$ à ses instigateurs. 

8 millions de dollars détournés

Cette fois-ci, le butin des pirates informatiques ne se compte plus en centaines de milliers, mais bien en millions de dollars. Le tout détourné durant la nuit dernière grâce à un défaut dans le code de ses smart contracts. Et tout le monde se réveille sous le choc en se demandant comment les deux instituts d’audit ont pu passer à côté de cette faille. Ce qui ne pose visiblement pas de cas de conscience aux intéressés sur le sujet. 

« Un audit ne peut garantir la détection de tous les problèmes potentiels. » – PeckShield Inc

Est-il nécessaire de préciser que Vitalik Buterin avait émis un avertissement très clair sur le sujet de l’utilisation des smart contracts au sein de la DeFi il y a tout juste quelques semaines…

Le cofondateur du protocole bZx, Kyle Kistner, a déclaré qu’une analyse interne approfondie des causes de cette attaque allait être menée. Cependant et malgré les avertissements de certains membres de la communauté, il n’est pas question de suspendre l’activité de la société pour le moment. Les cabinets d’audit « ne recommandent pas une telle ligne de conduite, » selon Kyle Kistner. Faisons leur confiance ! 

Une attaque par duplication de jetons

L’exploitation de cette faille de sécurité à permis de réaliser une attaque très lucrative dont le montant va rester dans les annales. Cela en utilisant une procédure de duplication des iTokens de bZx permettant d’augmenter le solde de jetons détenus par le hacker. Espérons juste que cela ne deviendra pas une sorte de concours au sein de l’Open Bar des défaillances de la Defi.

Le butin est impressionnant. Cette attaque aura permis de détourner 219 200 jetons LINK (2,2 millions de dollars), 4503 ETH (1,6 million de dollars), 1 756 351 USDT (1,7 million de dollars), 1 412 048 USDC (1,4 million de dollars) et 667 989 jetons du stableboin DAI (680 000 de dollars). Le tout pour un total s’élevant à 8,1 millions de dollars. 

Il aura fallu plusieurs heures à l’équipe de bZx pour réagir à ce bug et interrompre la frappe et la gravure des iTokens. Raison évidente du montant impressionnant du préjudice. Le protocole bZx a cependant déclaré qu’aucun fonds de ses utilisateurs n’était impliqué car la perte est actuellement couverte par son assurance. 

Un bug identifié en externe

Ce bug a été identifié en externe par un certain Marc Thalen, ingénieur en chef chez Bitcoin.com. Ce dernier a effectivement réalisé l’opération avec un montant de 100$ sous la forme du stablecoin USDC. L’opération lui a ainsi permis de récupérer 200$ au final. Un processus qu’il explique dans un thread sur Twitter publié dans la nuit.

« À partir de là, j’ai récupéré des jetons iUSDC. Je m’en suis ensuite envoyé en dupliquant pratiquement les fonds. J’ai ensuite créé une réclamation pour 200$ USD. » – Marc Thalen

Selon Marc Thalen, cette menace représentait un risque total d’un montant supérieur à 20 millions de dollars au sein du protocole bZx. Il a donc immédiatement fait part de sa découverte à l’équipe en charge de bZx. Mais à ce moment « aucun des fondateurs n’était présent. » 

Sa découverte va tout de même lui rapporter la modique somme de 12 500$ au titre d’une prime de bug versée par le protocole bZx. Comme quoi la communauté crypto est apparemment plus fiable que certaines structures d’audit ! 

La dernière attaque de ce type avait entraîné une baisse de 70% de la valeur totale bloquée (TVL) dans le protocole bZx. Difficile de dire actuellement si cela va se reproduire suite à cette nouvelle attaque. Mais quoi qu’il en soit, la courbe qui se dessine sur la dernière année YTD n’est pas très enthousiasmante.