La finance décentralisée (DeFi) et les protocoles qu’elle constitue sont de plus en plus la cible d’attaques. L’échange inter-chaîne décentralisé, THORChain (DEX), a été ajouté à la liste des protocoles exploités, et la liste s’est allongée avec l’émergence d’informations détaillées sur des millions de dollars de pirates informatiques.
Une perte d’environ 5 millions de dollars
Dans la soirée du 15 au 16 juillet, l’équipe du protocole ThorChain a signalé à ses utilisateurs l’attaque contre le pool de liquidités de la plateforme.
Lorsque la première annonce a été faite sur Telegram, le montant total de l’attaque était estimé à 13 000 ETH, soit plus de 24 millions de dollars américains. Depuis lors, les estimations ont été abaissées successivement, et le montant total volé semble être d’environ 2 500 ETH, soit environ 4,9 millions de dollars américains.
Dans les heures qui ont suivi, le réseau ThorChain a été mis en attente pour que les développeurs puissent corriger les vulnérabilités utilisées dans l’attaque. Bien que cette faille ait été corrigée, le réseau est toujours en état d’interruption au moment de la rédaction de cet article. Une fois que l’équipe chargée de l’accord s’est assurée qu’il n’y a pas d’autres défauts, celle-ci devrait être de nouveau en ligne dans les prochaines heures.
Le service Bifröst blamé
Pour rappel, ThorChain est un protocole de liquidité cross-chain, ce qui signifie qu’il s’exécute à la jonction entre différentes blockchains et permet au Bitcoin, Ethereum, Litecoin, Bitcoin Cash et Binance Smart Chain le transfert de liquidité.
Bonus : Binance Smart Chain a ralenti par rapport à l’Ethereum.
En bref, le protocole utilise un réseau de nœuds exécutant un service appelé Bifröst. Ce service permet d’écouter les transactions de la chaîne A pour les exécuter sur la chaîne B.
Selon l’annonce publiée par l’équipe ThorChain, l’attaquant semble avoir exploité la vulnérabilité du service Bifröst ETH. Cela a récemment été mis à jour pour permettre aux routeurs d’être inclus dans les contrats intelligents via des wrapped smart contract.
L’attaquant a réussi à tromper le service Bifröst grâce à un contrat personnalisé pour lui faire croire qu’il effectuait une transaction importante, alors qu’en fait, il n’a transféré aucune valeur
« L’attaquant pourrait envoyer une transaction avec msg.value = 200 ETH, mais utiliser un contrat pour détourner cette somme vers lui, puis appeler le routeur avec un montant de dépôt de 0. Bifrost signalerait msg.value = 200, et non depositAmount = 0. », a déclaré ThorChain sur Twitter.
Remboursement intégral des fonds.
L’équipe ThorChain a annoncé qu’elle rembourserait intégralement les fonds volés par les attaquants. Dans la pratique, cela peut se faire par le biais d’un accord avec le Fonds du Trésor. Cependant, avant d’adopter cette solution, l’équipe ThorChain a envoyé un message à l’attaquant, lui proposant de restituer des fonds en échange d’une récompense sous la forme d’un bug bounty.
« Bien que la trésorerie dispose des fonds nécessaires pour couvrir le montant volé, nous demandons à l’attaquant de prendre contact avec l’équipe pour discuter du retour des fonds et d’une prime proportionnelle à la découverte. », a déclaré Thorchain sur Telegram.
Heureusement, l’accord a été lancé prudemment en fixant une limite supérieure à son pool de liquidités. Comme l’a souligné Chris Blec, si son équipe ne prenait pas de telles précautions, le résultat de cette attaque pourrait être pire.
Plus d’actualité DeFi : Grayscale annonce un nouveau fonds DeFi au niveau institutionnel.
Afin de s’assurer que de tels incidents ne se reproduisent plus, l’équipe du protocole a annoncé avoir contacté diverses sociétés spécialisées dans la sécurité des protocoles blockchain pour effectuer un audit complet de tous les contrats intelligents utilisés.
En effet, à ce jour, on pourrait constater une légère reprise pour le prix du THORChain. RUNE se négocie actuellement sur €3.68 EUR, soit une augmentation de 25.17 % ces dernières 24 heures après avoir chuté à de près de 20 % après l’attaque. Les piratages dans le domaine du cryptosphère continuent d’augmenter et représentent le principal risque de DeFi. Entre juillet 2019 et février 2021, plus de 284 millions de dollars ont été volés à Ethereum uniquement.