Accueil DeFi : 120 Millions en Bitcoin disparaissent de Badger DAO
Toute l'actualité

DeFi : 120 Millions en Bitcoin disparaissent de Badger DAO

Marc-Antoine Caen Poletti
bitcoin badger dao hack

$120M en Bitcoin ! C'est le montant du dernier hack qui ébranle la DeFi

Rejoignez notre groupe Telegram pour rester au courant des dernières nouvelles crypto en direct.

Un hacker soutire 120 millions de dollars sur le protocole de DeFi Badger DAO opérant sur Bitcoin. Après une alerte sur un piratage de 10 millions de dollars, Badger a verrouillé les coffres. Trop tard hélas. Jusqu’à 896 Bitcoin ont été dérobés du portefeuille d’un investisseur malchanceux. Dans la foulée, le cours du token natif de Badger dégringole de 15,73 %. A l’heure actuelle, il se vend pour moins de 22 dollars. Le protocole en question était à quelques jours de son premier anniversaire quand le piratage a eu lieu.

 

  • Qu’est ce que Badger DAO
  • La méthode de piratage
  • Les explications de la team

Badger DAO, finance décentralisée & farming sur Bitcoin.

Badger DAO est un service qui permet d’utiliser les Bitcoin sur la blockchain Ethereum. Pour cela, le protocole va réaliser ce qu’on appelle un wrap de token. Le wrapping consiste à “enrouler” ou associer un token avec un autre. Afin de réaliser un wrap, on utilise un Smart Contract (contrat intelligent) impliquant les deux crypto monnaies. De cette manière, on peut profiter des services de DeFi (finance décentralisée) avec ses Bitcoin. Les usagers convertissent leurs bitcoins en Wrapped Bitcoin (wBTC) ou renBTC. Les coffres virtuels déterminent algorithmiquement les rendements respectifs pour les allouer.

Mais pourquoi wraper ses Bitcoin ? Eh bien, la plus part des protocoles DeFi n’existent que sur la blockchain Ethereum. On les code dans le language d’Ethereum, le Solidity. Et ils fonctionnent en exploitant d’autres protocoles ou d’autres smarts contracts. C’est tout l’écosystème Ethereum qu’on met à contribution pour faire tourner la machine de la DeFi. C’est pour cette raison qu’Ethereum est si important. Et comme tout passe par Ethereum, c’est également pour cette raison que le réseau est tellement congestionné. Car il n’existe pas d’alternative qui arrive à la cheville, et même les détenteurs de Bitcoin utilisent des protocoles comme Badger DAO pour profiter de la DeFi sans vendre leurs précieux tokens.

Cependant, ces protocoles, bien qu’ils apportent beaucoup de nouveauté et d’innovation, sont aussi les cibles privilégiées des Hackers. Car Badger a été la victime d’une puissante attaque, comme nous allons le voir.

 

cryptonaute twitter

Une méthode impliquant la patience

L’attaque a eu lieu ce 2 décembre au petit matin, à l’heure des Etats-Unis. Mais il semblerait que le hacker ait préparé son coup depuis longtemps. C’est le site interface, permettant aux utilisateurs d’interagir avec le protocole, qui a été victime de piratage. La corruption d’une clé API des services de la société Cloudflare a rendu l’attaque possible. Cette société vise à aider et protéger les sites des attaques de type déni de service ou DDoS. Ces attaques consistent à envoyer un spam de requêtes vers un site, provoquant ainsi une congestion puis une paralysie du système. A terme, le site est down, et ce en un court laps de temps.

Tritium, membre central de l’équipe Badger, nous a délivré de plus amples informations via le serveur discord de l’équipe :

“Il semble qu’une clé API pour Cloudflare ait été compromise. Grâce à cela, le pirate a pu créer un script, injecter le script dans des routes personnalisées et servir le frontend avec le script malveillant injecté.”

En d’autres termes, l’API Cloudflare a donné une porte d’entré au Hacker. Grâce à cela, il a pu modifier la page sur laquelle les utilisateurs arrivent lorsqu’ils souhaitent se rendre sur le site de Badger DAO. Sur la page malveillante, au lieu de vous connecter au protocole, vous entriez dans l’antre du mal.

Via cette clé, le pirate a donc pu injecter un script personnalisé détournant les utilisateurs de Badger.com vers un portefeuille sous son contrôle. Selon les données on-chain , le hacker a créé son script le 20 novembre. Il semble que l’attaquant ait attendu que plusieurs utilisateurs aient ouvert leurs wallets au programme malveillant avant de commencer à drainer les fonds en une seule fois.

 

Les explications de Badger. Les plaintes des clients. Le tôlé de la communauté.

Les investigations se poursuivent du côté de Badger et ses partenaires. Sur son fil Twitter, Badger DAO évoque la clôture temporaire des activités sur le protocole.

“Badger a reçu des rapports de retraits non autorisés de fonds d’utilisateurs. Pendant que les ingénieurs de Badger enquêtent sur cette affaire, tous les contrats intelligents ont été mis en pause pour empêcher d’autres retraits. Notre enquête est en cours et nous publierons de plus amples informations dès que possible.”

Les membres de la communauté conseillent aux déposants d’utiliser des outils tels que Debank et Unrekt pour révoquer les autorisations du contrat malveillant. Mais le mal est fait, et même bien fait. A priori, des vies sont déjà en miettes suite aux pertes monstres que certains utilisateurs ont pu accuser sur Badger. Jusqu’à 900 BTC pour le plus malheureux d’entre eux. Un fortune représentant plus de 50 millions de dollars.

Pourra-t-on restituer les fonds ? C’est la question sur laquelle travaille désormais le service d’assurance Nexus et Badger DAO. Cela va dépendre de la couverture qu’ils pouvaient avoir. En effet, les clauses de remboursement portent sur certains points seulement : erreur de contrat, attaques économiques, y compris les défaillances d’oracle [et] les attaques de gouvernance.

Suite à cette énième attaque, les maximalistes Bitcoin s’en donne à cœur joie pour critiquer le fonctionnement de certains actifs. Rappelons qu’une attaque en mai cette année a vu la disparition de centaines de millions de dollars sur le protocole Pancake Bunny Swap, soit 95% du pool, pour des frais d’environ 9$. La société d’analyse de sécurité et de données blockchain PeckShield a conclu que la perte totale sur Badger s’élevait à environ 2 100 BTC et 151 ETH.

Les protocoles DeFi sont donc toujours des sujets sensible. Entre balbutiement, erreur de programmation et cible préférés des attaques, le monde de la DeFi se construit douloureusement. Cependant, le montant des gains potentiels, la volonté de s’affranchir de la finance classique et les promesses technologiques sont plus fortes. Et les communauté née dans la finance décentralisée n’est pas encore prête à déposer les armes.

 

Rejoignez notre groupe Telegram pour rester au courant des dernières nouvelles crypto en direct.
Ajoutez Cryptonaute à vos flux Google Actualités
Recevez toute l'actualité crypto en direct sur Telegram
Rejoignez notre groupe Telegram