La plateforme de vente de tokens MISO de SushiSwap présente une faille qui peut être utilisée pour voler d’Ether (ETH) d’une valeur de 350 millions de dollars. Heureusement, un chercheur de Paradigm spécialisé dans la blockchain l’a découvert à temps et a pu travailler avec les équipes SushiSwap pour éliminer la menace avant qu’elle ne soit utilisée par un hacker dangereux.
Un hacker (white hat) a sauvé la DeFi d’une nouvelle attaque.
Une semaine après le protocole Poly Network a subi une attaque de 600 millions de dollars (la plupart des actifs ont depuis été restitués.), le secteur de la finance décentralisée (DeFi) aurait pu subir une autre attaque de piratage d’envergure.
Cette fois, la cible de l’attaque était MISO, une plateforme dédiée au lancement de nouveaux tokens et basée sur l’échange décentralisé SushiSwap. Heureusement, cette catastrophe a été évitée grâce à la coopération d’un pirate informatique « white hat » (bienveillant). L’affaire a été divulguée sur Twitter par l’un des sauveurs, Samczsun, spécialiste dans le domaine de cryptomonnaies pour la société Paradigm.
Les experts en cybersécurité, Samczsun et ses collègues Georgios Konstantopoulos et Daniel Robinson ont contacté l’équipe SushiSwap pour les alerter sur » une vulnérabilité ». Cela implique des contrats intelligents qui prennent en charge la vente aux enchères de jetons BitDAO sur la plate-forme MISO.
Qu’est-ce qui a pu arriver ?
La vente de token BitDAO sont effectuées sous la forme d’une « Dutche Auction » une enchère hollandaise. En bref, les investisseurs enchérissent au montant le plus élevé qu’ils sont prêts à payer. Lorsque toutes les offres sont collectées, la plus élevée est déclarée gagnante. Logiquement, les offres non retenues seraient retournées à leurs propriétaires.
Pour l’instant, il n’y a pas d’anomalie. Cependant, les spécialistes de chez Paradigm ont découvert la « vulnérabilité » qui peut être très coûteuses. En fait, cette faille permet à un hacker d’appeler plusieurs fois à la fonction commitEth (c’est-à-dire d’enchérir plusieurs fois et gratuitement), tout en réutilisant une seule msg.value pour chaque promesse (ce qui signifie qu’en apparence, il n’y a qu’une seule vraie vente aux enchères).
Lire également : Binance opérant illégalement aux Pays-Bas : la Banque centrale des Pays-Bas émet un avertissement catégorique.
Ainsi, au moment du remboursement, le pirate reprendra sa part multipliée par le nombre de fois qu’il répétera l’opération. En conséquence, tous les fonds proposés par les participants seront épuisés.
Le directeur technique chez Immunefi, Duncan Townsend, également recruté pour aider à résoudre le problème a expliqué que :
« Les utilisateurs pouvaient surenchérir et obtenir un remboursement de la différence entre l’offre actuelle et le montant qu’ils ont soumis, mais le remboursement pouvait être répété pour vider le contrat d’enchères.»
Enfin, grâce aux efforts de ces aimables hackers, l’équipe BitDAO a pu stopper manuellement à l’enchère avant que la vulnérabilité ne soit exploitée. Selon leurs dernières nouvelles, il n’y a aucune perte à déplorer.
La vente a finalement permis à BitDAO de lever 350 millions de dollars. Sans l’intervention de Paradigm et de ses experts, cette énorme somme d’argent peut définitivement être épuisée.
