Aaaand it’s gone – Les bridges sont des éléments essentiels de l’écosystème DeFi. En effet, ces derniers permettent d’améliorer la liquidité de l’écosystème, en permettant aux flux monétaires d’aller d’une chaîne à l’autre. Cependant, en cas de hack, le risque systémique reste important.
Des centaines de millions de dollars dérobés à Wormhole
Nous vous en parlions au lendemain des faits : le pont Wormhole a été la cible d’une attaque. Celui-ci relie Solana (SOL) à plusieurs autres blockchains, dont Ethereum (ETH), Terra (LUNA), Polygon (MATIC) ou encore Avalanche (AVAX).
Pour rappel, les ponts ou bridges sont des services permettant d’envoyer des fonds entre blockchains. Pour ce faire, les fonds sont bloqués sur un smart contract hébergé sur la blockchain A, avant d’être libérés sur la blockchain B de manière tokenisée.
Ainsi, le mercredi 2 février aux alentours de 22 h, les équipes derrière Wormhole ont averti la communauté qu’une attaque était potentiellement en cours.
Rapidement, cette « potentielle » attaque est vérifiée, et le résultat tombe : l’attaquant a réussi à émettre 120 000 ETH sur la blockchain Solana, avant d’en envoyer 80 000 sur Ethereum.
Cela a eu comme tragique conséquence d’entièrement vider les fonds du pont, entraînant une perte de la garantie des ETH évoluant sur Solana. Pour rappel, sur Solana, l’ETH est représenté par le wETH pour Wormhole ETH.
En parallèle, les ETH restants sur Solana ont été convertis en 422 000 SOL, soit environ 46,6 millions de dollars.
Quelques heures après les faits, les développeurs de Wormhole ont annoncé avoir corrigé le bug après avoir mis en pause le protocole.
Une tentative de récupération des fonds
Évidemment, les développeurs ont également tenté de prendre contact avec l’attaquant. Pour ce faire, ils lui ont envoyé un message via une transaction sur le réseau Ethereum. Leur objectif est clair : essayer de négocier une restitution des fonds en échange d’une généreuse récompense de 10 millions de dollars.
Pour le moment, l’attaquant n’a pas donné suite au message.
L’identification du bug
Selon les premières investigations menées par l’entreprise spécialisée dans l’analyse de blockchain, Certik, l’attaquant aurait profité d’un manque de vérification des contrats.
En effet, ce dernier a appelé la fonction complete_wrapped() en lui adossant plusieurs paramètres frauduleux. Malheureusement, aucune vérification de ces paramètres n’a été faite lors de la création des wETH sur Solana.
« Dans ce cas, les données usurpées seront transmises et traitées. L’autorité de mint pour les Wormhole ETH (wETH) est un PDA et signera l’instruction ‘mint’. Enfin, l’instruction ‘invoked_seed’ sera déclenchée avec succès et le Wormhole ETH sera minté par l’attaquant. »
Alors que l’ensemble de la communauté voyait déjà ses ETH envolés sur Solana, les équipes du projet ont rapidement annoncé avoir renfloué le pont.
« Des ETH seront ajoutés au cours des prochaines heures pour s’assurer que le wETH est soutenu 1:1. Plus de détails à venir prochainement. »
Déclaration de Wormhole
Une question a ainsi soulevé l’ensemble de la communauté : d’où peuvent bien venir les 120 000 ETH utilisés pour renflouer Wormhole ? En pratique, il est fort probable que ce soit là un acte de FTX, que l’on sait très attaché au réseau Solana.
Bien que cet événement prenne racine dans un contexte différent, les remarques émises par Vitalik Buterin au début de l’année concernant la sécurité des ponts restent tout à fait pertinentes. En effet, si les fonds dérobés avaient été renvoyés vers une plus petite blockchain, cela aurait pu avoir des répercussions systémiques.
Peur de succomber au FOMO ? Commencez par vous assurer d’évoluer dans un environnement sécurisant, et qui vous permettra d’organiser une stratégie d’investissement solide : Inscrivez-vous sans attendre sur la plateforme d’exchange crypto de référence FTX et bénéficiez d’une réduction à vie sur vos frais de trading (lien affilié, voir conditions sur site officiel).
L’article Hack géant de Wormhole : des contrats non vérifiés à l’origine de la catastrophe est apparu en premier sur Journal du Coin.
