Le 11 octobre 2022, Temple DAO, l’une des plus grosses organisations autonomes décentralisées sur le marché des cryptos, a été victime d’un piratage à plus de 2,3 millions de dollars. L’information a été révélée par l’utilisateur de Twitter Spreekaway, et confirmée ensuite par plusieurs entreprises spécialisées dans la sécurité informatique de la technologie de la Blockchain.
Une attaque par exploit à 2,3 millions de dollars !
Une vulnérabilité présente dans le code informatique de Temple DAO a permis à un pirate informatique de détourner la somme extraordinaire de 2,3 millions de dollars. L’attaque a été révélée par Spreekaway sur son compte Twitter :
.@templedao exploited for $2m it seems pic.twitter.com/k0nBLSoxnx
— Spreek (Denver 28th-6th) (@spreekaway) October 11, 2022
L’attaque informatique s’est déroulée en plusieurs étapes. L’organisation précise sur son compte Twitter qu’un total de 321 154 jetons xLP ont été extraits du contrat xLP Staking à 15h08 (heure de Paris) pour être ensuite convertis en 1 262 438 jetons FRAX et 1 418 303 jetons TEMPLE. Le solde de jetons TEMPLE a ensuite été convertis en jetons FRAX.
https://twitter.com/staxfinance/status/1579855195693256704
Le hacker a ensuite échangé son stock de jetons FRAX en jetons USDC via le protocole financier décentralisé Uniswap, comme le montre la liste des transactions ci-dessous :
La faille de sécurité a permis au pirate de détourner 1,832.19947049 Ether vers une nouvelle adresse appartenant au pirate : 0x2b63d4a3b2db8acbb2671ea7b16993077f1db5a0. Le transfert vers cette adresse a démarré à 15h14 (heure de Paris) avec un transfert en deux étapes : un premier transfert à 15h14 de 0,10 ETH (un test très certainement) et un second transfert du solde restant.
Temple DAO précise sur son compte Twitter officiel qu’un seul agent semble avoir été impliqué dans l’attaque informatique.
Des précautions ont été prises à court terme
L’équipe chargée du développement de l’organisation décentralisée affirme que toutes les précautions ont été prises pour que le problème n’impacte plus les utilisateurs de la plateforme. Par mesure de sécurité, l’application décentralisée a été désactivée pendant le temps de l’investigation. Les développeurs de Temple DAO invitent bien sûr les utilisateurs à s’abstenir de tout dépôt vers les contrats STAX jusqu’à nouvel ordre.
Une récompense légale pour le pirate
L’équipe chargée du développement offre une récompense légale au pirate pour qu’il restitue les fonds. On ignore encore, à ce stade, les détails concernant ce programme de récompense, mais à priori la DAO va initialiser, en partenariat avec la plateforme Binance, un programme de prime pour récompenser le hacker éthique. L’organisation va établir un canal de communication sécurisé si le pirate s’engage à restituer les fonds.
Une faille de sécurité incroyablement simple à exploiter !
Le piratage est plutôt bien rodé. Le pirate a exploité une faille de sécurité présente dans une fonction informatique de jalonnement dénommée : migrateStake.
Cette fonction présente dans le code informatique du contrat StaxLPStaking présente un défaut majeur. Elle ne prend que seulement deux paramètres en entrée : l’adresse du contrat (oldStaking) et le montant du transfert.
Une fonction qui présente donc une faille de sécurité majeure dans la mesure où elle ne vérifie pas que l’utilisateur à l’origine de la demande de transfert est bien le propriétaire du contrat ! Sans broncher, la fonction accepte donc n’importe quel contrat et y compris les contrats contrôlés par une clé publique/ privée dits EOA (Externally Owned Accounts).
Voici une vue d’ensemble de la fonction incriminée :
A partir d’un simple appel de cette fonction, un utilisateur peut migrer n’importe quel contrat de la plateforme. Cela est d’autant plus gênant que la fonction peut potentiellement être appelée par n’importe quel utilisateur et pas uniquement par le “migrateur” du contrat.
Une faille de sécurité présente depuis longtemps !
La fonction incriminée et sa simplicité d’utilisation laisse craindre le pire en matière de sécurité informatique. Le célèbre développeur et fondateur deFi / NFT : foobar (@0xfoobar) affirme que la faille de sécurité était déjà présente depuis plusieurs mois.
C’est également l’avis de l’agence Palladin spécialisée dans la sécurité informatique de la technologie Blockchain, qui affirme dans un tweet sur son compte officiel que la vulnérabilité était présente depuis l’origine :
/6 The contract is very old and has had value for ages:
The contract was deployed over 100 days ago with the vulnerability and only got exploited just now. The vulnerability has always been present.
"if it's exploitable it will get exploited" might sometimes have a delay pic.twitter.com/bP2UgpybQm
— Paladin Blockchain Security (@0xPaladinSec) October 11, 2022
On peut d’ailleurs se féliciter de la réactivité extraordinaire de cette agence dans la détection de cet incident. Il a fallu seulement une heure pour contacter la plateforme Binance ainsi que les développeurs de l’organisation décentralisée Temple DAO. Cette agence a clairement joué un rôle actif dans la détection et la résolution de cet incident.
L’agence fournit des informations précises sur la nature de cet incident sur son compte Twitter officiel qui permet de mieux comprendre la nature de l’attaque informatique par exploit.
1/ The StaxLPStaking contract which was exploited allowed for migrating stakes from an older contract using `migrateStake`.
This way users could move to the new contract in a single call. pic.twitter.com/2uM06nEfrw
— Paladin Blockchain Security (@0xPaladinSec) October 11, 2022
Les utilisateurs impactés seront indemnisés !
Une bonne nouvelle néanmoins pour tous les utilisateurs impactés par ce piratage. L’organisation en charge de la gestion du DAO affirme que tous les utilisateurs seront indemnisés. Il ne reste plus qu’à espérer que la plateforme de gestion de cryptomonnaies Binance sera en mesure de retrouver la trace du hacker ou bien que celui-ci acceptera de simplement retourner le montant des fonds substitués en échange d’une récompense légale. À suivre donc !
À lire également :
Partager
Romaric Saint Aubert
Crypto-journaliste
