Le site d’échange DeFi, OptiFi, de Solana a buggé. Résultat : l’accès aux fonds est bloqué et le risque de les perdre définitivement est bien réel. Le bug n’est pas survenu après un piratage, ni à cause de la mauvaise sécurité du site, mais à la suite d’une mise à jour qui aurait mal tourné.
Un accident qui a généré de grosses pertes
Perdre ses fonds à la suite d’un piratage est déjà un grand problème en soi. Mais perdre ses fonds à la suite d’une mauvaise manipulation, c’est mille fois pire. L’équipe d’OptiFi en a vécu la mauvaise expérience. Les développeurs ont en effet fait bugger leur propre plateforme à la suite d’une mise à jour. Au final, la perte s’élève 661 000 $ en USDC. Certes, ce n’est pas la pire perte enregistrée cette année, mais elle est assurément parmi les plus bêtes.
Pour revenir sur la chronologie des faits, l’équipe a procédé à une mise à jour du code de leur programme le 29 août vers 06 :00 UTC. L’objectif était de mettre à jour le programme OptiFi sur le réseau principal Solana. Cependant, l’agent en charge de l’opération a accidentellement utilisé la commande « anchor deploy » pour déployer le programme sur le réseau principal. Cela a pris plus de temps que d’habitude, probablement à cause de l’encombrement du réseau. Ils ont alors lancé le programme « solana close program » pour essayer de stopper le processus. Résultat des courses : cela a entrainé l’arrêt du programme OptiFi.
Le réseau est entièrement bloqué
En lançant le mauvais programme, le réseau principal s’est automatiquement bloqué et, hélas, ne peut plus être récupéré. Près de 661 000 USDC sont ainsi bloqués dans les PDAs. Selon l’équipe, 95% des fonds perdus appartiennent à 3 membres de l’équipe d’OptiFi. Ils ont notamment avancé qu’ils allaient rembourser les fonds de tous les utilisateurs.
Sans le savoir, les développeurs ont ainsi réussi à détruire complètement leur propre plateforme DeFi. Ils ont bien évidemment essayé d’interrompre la commande avant qu’elle ne renvoie un message. Cependant, un nouveau compte tampon a été créé entre temps, mais n’a pas été utilisé. Ils ont essayé de fermer le nouveau compte tampon et de récupérer le solde en premier, mais cela n’a pas marché. Le réseau principal a été fermé, et les données ne peuvent plus être récupérées.
Est-ce qu’il est possible de rectifier le tir ?
Certes, les fonds ne peuvent plus être récupérés. Pourtant, il reste possible de réduire les casses d’après l’équipe. Ce, via l’application d’une surveillance de la plateforme par des pairs et la séparation des fonds communs de capitaux (AMM) du programme principal. Ceci permettra de minimiser l’impact des erreurs.
L’ajout d’avertissements dans la documentation des utilisateurs sera aussi fait. À cela s’ajoute une confirmation en deux étapes de la fermeture d’un programme dans l’interface CLI. Les développeurs ont appris de leurs erreurs. Ils souhaitent désormais construire une nouvelle plateforme DeFi plus sûre pour les utilisateurs qui continuent de leur faire confiance. L’équipe d’OptiFi a affirmé que le rapport d’incident sera posté ultérieurement. En attendant, elle réitère ses plus plates excuses aux utilisateurs de la plateforme. Surtout, ceux qui ont été affectés d’une manière ou d’une autre par leurs erreurs.
Pour en savoir plus : 112 OOO PC infectés par un crypto-mineur via une fake app de Google Translate !