Une faille au sein de Bancor permet une nouvelle exploitation malhonnête de la DeFi

Un tweet de la plateforme de liquidité de chaîne Bancor [@Bancor] a révélé que dans la matinée du 18 juin, l’équipe a découvert une fragilité dans la dernière version du smart contract du réseau :

La nuit dernière, à minuit horaire GMT, nous avons découvert une vulnérabilité dans une nouvelle version du smart contract du réseau BancorNetwork v0.6, activée le 16 juin 2020. Les fonds de tous les utilisateurs sont intacts.

La plateforme a ajouté qu’une nouvelle version du contrat de BancorNetwork a été déployée, et qui devrait corriger cette faille. Lors de la publication de cet article, nous ne disposions d’aucune aucune autre nouvelle sur le site de la plateforme ou son compte Twitter. Cela dit, un message sur le groupe Telegram de Bancor a assuré à ses utilisateurs que tous les fonds étaient intacts et en sûreté. Hex Capital [@Hex_Capital] s’est penché sur cet incident et a découvert une adresse réceptrice, et vers laquelle une quantité considérable de fonds d’utilisateurs auraient été redirigés :

On dirait qu’une adresse contrôlée par Bancor a prélevé 460 000 dollars en fond à risques d’utilisateurs vers [adresse]. Comment pensent-ils rendre ces fonds, et combien de ces derniers les attaquants ont-ils volés ?

Dan Held [@danheld], directeur des affaires à Kraken, a rapidement surenchéri en tweetant : “Un nouveau jour, une nouvelle faille enfantine du script de la DeFi. De son côté, l’investisseur et observateur Stephen Cole [@sthenc] a ajouté :

La semaine dernière, Coinbase a annoncé qu’ils songeaient à amplifier leur soutien à Bancor. Cette semaine, des hackers se sont servis d’une faille de Bancor pour voler des fonds d’utilisateurs.

Des fonds de la DeFi prélevés ?

D’après Defi Pulse, la valeur totale en dollars américains bloqués sur la plateforme Bancor est passée de 19 millions à 14,5 millions durant ces deux derniers jours. Cela dit, il reste encore à voir si cette baisse est dû à cette infiltration digitale.

Il se peut que les utilisateurs, préoccupés par cette faille, aient retiré leurs fonds de la plateforme dans la crainte d’autres attaques. Ce déclin diffère d’ailleurs du reste du marché de la DeFi, qui s’est accru de 50 millions de dollars ces dernières 24 heures. Le site d’analyses de la DeFi affirme que Bancor est la neuvième plateforme la plus populaire de l’industrie. Les weekend dernier, elle détenait une valeur totale de fonds bloqués d’environ 20 millions de dollars. Defiprime [@defiprime], fournisseur d’analyses de l’industrie, a donné des nouvelles à ce sujet sur Twitter. Il y affirme qu’une intervention visant à migrer les fonds vers un lieu sûr a eu lieu après avoir découvert la vulnérabilité. Il a également ajouté que le smart contract a été inspecté, confirmant que les fonds d’utilisateurs sont bien protégés. Hex Capital a contredit ces déclarations, mettant en avant une autre transaction fallacieuse :

Tous les fonds d’utilisateurs n’ont pas été déplacés de manière sûre. Voyez un peu ça, une adresse non contrôlée par Bancor a prélevé près de 100 000$ en fonds d’utilisateurs sur BancorNetwork.

L’actualisation du smart contract de Bancor

Bien qu’on manque encore de détails à ce sujet, la faille semble provenir d’une récente actualisation des smart contracts de Bancors. En préparation du prochain lancement de Bancor V2, la plateforme a introduit un protocole d’actualisation à la version 0.6 pour ses smarts contracts présents sur Ethereum. Dans une annonce à la fin du mois de mai, Bancor a mis en exergue les changements de son protocole. Ces derniers comprennent une réduction majeure de 30% des coûts moyens de “carburant”, un nouveau processus de création de liquidités groupées, un nouveau kit de développement de software (SDK) et une interface simplifiée pour les smart contracts. Bancor a lancé l’interface web de sa plateforme d’échanges décentralisée en octobre 2017, après une ICO sans précédent en juin de la même année. Il possède également son propre jeton, le Bancor Network Token (BNT), lequel sert de “pôle de Smart Token” servant à connecter tous les autres tokens du réseau Bancor. La plateforme utilise un mécanisme algorithmique de tenue de marchés en se servant de ces “Smart Tokens”, ou “tokens intelligents”. Ces derniers assurent une bonne liquidité et des prix corrects en maintenant un taux fixe à des tokens connectés, tels que l’ETH. Lors de la publication de cet article dans sa version originale, le BTN avait chuté de 10% dans son cours à la journée.

Les précédentes exploitations de la DeFi

Cette exploitation n’est pas la première pour l’industrie bourgeonnante de la DeFi, et il ne s’agira probablement pas de la dernière. Cela dit, cela n’a pas empêché le spectre du crypto-tribalisme de montrer une fois de plus sa vilaine tête. En avril 2020, la plateforme chinoise de prêt DeFi lendf.me a dû interrompre ses services lorsqu’on a dérobé 25 millions de dollars sur l’un de ses smart contracts. Une faille dans le standard du token ERC-777 a donné lieu à cette exploitation, et à la perte de fonds. Plus tôt dans l’année, le protocole DeFi bZx a subi un vol de près d’un million de dollars, dans ce qu’on a nommé une “attaque de manipulation d’oracle”. Deux attaques isolées ont permises à un pirate de réaliser un “prêt express”. Le hacker a ainsi exploité la plateforme au travers d’un smart contract qui emprunte des fonds sans effets collatéraux et les rembourse dans la même transaction. Il y aura toujours des détracteurs des nouveaux systèmes et technologies. De même, certains préféreront toujours se focaliser sur les faiblesses d’un système plutôt que de s’appliquer à le renforcer et le rendre plus résistant à ce genre d’attaques. Au fur et à mesure que l’écosystème DeFi évolue, ces “défauts de jeunesse” seront peu à peu corrigés et de nouvelles plateformes “plus intelligentes” émergeront. Ces attaques permettront au moins à la DeFi de prendre du poil de la bête, en plus de stimuler son évolution et de nouvelles innovations. Cette année est marquée par la croissance de la DeFi et la demande pour l’Ethereum, à la base de cet écosystème. Il est normal de s’attendre à quelques aléas sur la route vers un futur financier décentralisé.   Vous souhaitez vous joindre à la communauté BeInCrypto? Rejoignez gratuitement notre groupe Telegram pour des nouvelles exclusives, des conseils de trading et une foule d’interactions avec d’autres passionnés de cryptomonnaies.   Images gracieusement fournies par Shutterstock, TradingView et Twitter.