Au cours du dernier week-end, des attaques informatiques ont visé l’exchange Uniswap et la plateforme DeFi Lendf.me. Les hackers ont dérobé pour plus de 25 millions de dollars aux deux entreprises crypto.
Deux acteurs de la crypto-monnaie ont fait les frais de cyberattaques distinctes au cours du week-end des 18 et 19 avril. Si l’enquête se poursuit, les deux piratages seraient néanmoins étroitement liés.
D’après les informations communiquées, les hackers auraient exploité les bugs et fonctionnalités de plusieurs technologies blockchain afin de conduire une attaque de type « reentrancy ». Cette technique exploite une faille du système pour cibler des smart contracts et ainsi drainer des fonds illégalement.
Des attaques combinant imBTC et smart contracts
De cette façon, des attaquants peuvent effectuer à plusieurs reprises une même opération de retrait avant que la transaction initiale ne soit traitée (acceptée ou refusée) par la plateforme. Pour le protocole de prêt Lendf.me, la cyberattaque s’est traduite par le retrait d’au moins 25 millions de dollars en Ether et Bitcoin de son wallet.
Pour le patron de Compound, Robert Leshner, interrogé par Coindesk, le piratage de Lendf.me fait suite à l’attaque contre Uniswap. Ce sont plus précisément les tokens imBTC de l’exchange qui ont été ciblés.
Le dirigeant souligne que imBTC, un token ERC-777, n’est « pas un actif Ethereum normal ». En conséquence, les smart contracts incluant imBTC doivent être traités avec des mesures de sécurité supplémentaires pour prévenir les attaques de type reentrancy.
Tokenlon, l’entreprise à l’origine du token imBTC, tient d’ailleurs à préciser que ce standard ne présente aucune faille de sécurité, « à sa connaissance ». Elle estime ainsi que c’est la combinaison de l’utilisation des tokens ERC777 et des contrats Uniswap/Lendf.Me qui est à l’origine de la cyberattaque.
Token imBT et transactions suspendus durant l’enquête
Pour dérober les crypto-monnaies, les pirates auraient en outre eu recours à un exploit public, dévoilé sur GitHub l’été dernier. La vulnérabilité avait été révélée par une société spécialisée dans la sécurité des plateformes crypto, OpenZeppelin.
Le préjudice est conséquent pour Uniswap et Lendf.me. Les services auraient perdu respectivement entre 300.000 et 1,1 million de dollars, et plus de 24,5 millions pour le protocole DeFi (appartenant à la dForce Foundation). Les deux plateformes ont déconnecté leurs services pour prévenir d’autres intrusions.
Quant à Tokenlon, il a annoncé avoir suspendu son token imBT et bloquer toutes les nouvelles transactions. Objectif : empêcher le recours à cette même technique contre d’autres services présentant les mêmes caractéristiques et donc potentiellement vulnérables.
Questions & Réponses (0)