Beanstalk perd 182 millions de dollars dans une attaque liée à une faille de sécurité

Un habile pirate a réussi à dérober 182 millions de dollars de crypto-monnaies sur le protocole de DeFi Beanstalk. L’escroc a déjoué ce service de finance décentralisée basé sur la blockchain Ethereum grâce à une faille de sécurité dans le protocole.

C’est le 10ᵉ plus gros hack dans le secteur des cryptomonnaies, avec 182 millions de dollars dérobés en Ether. Les attaques de grande ampleur se multiplient : le 23 mars dernier par exemple, le réseau Ronin a ainsi perdu un montant d’environ 600 millions de dollars. Le gouvernement américain a récemment mis la main sur des bitcoins dérobés à Bitnifex en 2016, qui valent aujourd’hui 3,6 milliards de dollars.

Comment le pirate s’est-il emparé de 182 millions de dollars en crypto-monnaies ?

Le protocole Beanstalk est basé sur le stablecoin BEAN. Les fonds déposés par les investisseurs permettent le fonctionnement du stablecoin en stabilisant son cours. En échange, les détenteurs de BEAN participent à une sorte de loterie qui peut s’avérer très lucrative, où les récompenses sont des actifs numériques.

En passant par le protocole Aave, le hacker a pu emprunter instantanément de grandes quantités de crypto-monnaies (flash loans). Il s’est ainsi retrouvé à la tête d’une valeur d’environ un milliard de dollars d’actifs en quelques secondes.

Comme pour la plupart des services DeFi, Beanstalk permet aux détenteurs de jetons de voter les modifications de son code. En convertissant ses crypto-monnaies en jetons de gouvernance, il a dépassé la limite de 67 % et a pu modifier le code en sa faveur pour lancer des smart-contracts sur le réseau. L’un d’entre eux comportait un morceau de code malveillant. Un grand cabinet d’analyse, CertiK, a révélé que l’attaque n’avait pas duré plus de 13 secondes.

Après s’être emparé des liquidités du protocole – 182 millions de dollars - le pirate a remboursé les fonds empruntés et a finalement récupéré 80 millions de dollars. Notons qu’il a également envoyé un don de 250 000 dollars à une organisation de soutien à l’Ukraine. Le hacker s’est appuyé sur des services d’anonymisation des crypto-monnaies comme Tornado Cash.

Quelles conséquences suite à cette attaque ?

CertiK constate une intensification des piratages ciblant le monde de la crypto, notamment ceux basés sur ces systèmes de flash loans.

Ces attaques soulignent l’importance d’un audit de sécurité, mais aussi d’une formation sur les questions de sécurité lors de l’écriture de code pour un service Web3. - Ronghui Gu, PDG de CertiK.

Comme on pouvait s’y attendre, ce piratage à grande échelle a entraîné une baisse conséquente du prix du stablecoin Bean. Le jeton est brusquement descendu de un dollars à moins de 20 cents, entrainant des pertes considérables pour ses détenteurs.

Les développeurs du protocole ont réagi en promettant de rapidement “ relancer en toute sécurité un Beanstalk plus sécurisé “. Ils peuvent pour cela compter sur une communauté loyale. À noter par ailleurs que Beanstalk propose une prime de 10 % au hackeur en cas de restitution des 90 %. Le responsable du piratage de Poly Network en août 2021 avait en effet rendu les 600 millions de dollars dérobés quelques jours après l’attaque.

Malgré les innovations offertes par la DeFi, restez donc prudent lorsque vous déposez vos fonds sur ces services. Ils ne sont effet pas à l’abri d’une attaque de grande ampleur, comme le démontre ce récent piratage.