L’échange de crypto-monnaie Binance a été mis en mode d’urgence ce jeudi suite à un piratage. L’échange était immédiatement au-dessus de l’événement et a publié aujourd’hui un article de blog détaillant les mesures prises pour l’atténuer. Au total, les pirates se sont enfuis avec 110 millions de dollars dans la crypto-monnaie native de la bourse, $ BNB. Cependant, les rapports initiaux soutenus par l’analyse de la blockchain ont rapporté un chiffre beaucoup plus élevé de 570 millions de dollars (vous pouvez toujours voir certains sites Web portant ce chiffre). Mais une réponse rapide de Binance a interrompu toutes les transactions dans l’échange soi-disant décentralisé. Actuellement, 7 millions de dollars des fonds volés sont gelés et en attente de récupération.
Pour confirmer, nous avons suspendu BSC après avoir déterminé un exploit potentiel. Tous les systèmes sont maintenant confinés et nous enquêtons immédiatement sur la vulnérabilité potentielle. Nous savons que la Communauté aidera et aidera à geler tous les transferts. Tous les fonds sont en sécurité.6 octobre 2022
L’exploit ciblait le pont inter-chaînes entre la BNB Beacon Chain (BEP2) et la BNB Smart Chain (BSC). Les ponts sont des applications logicielles qui permettent à deux chaînes de blocs différentes d’interagir, verrouillant certains actifs d’une chaîne et « frappant » (créant) des actifs équivalents sur la chaîne de destination. Les ponts ont été la cible de la plupart des hacks de haut niveau dans l’espace de la crypto-monnaie en raison de la complexité de la liaison de protocoles disparates à un seul point de défaillance. Le FBI a même fait un message d’intérêt public à ce sujet.
Selon le billet de blog, l’attaque s’est produite via une falsification sophistiquée d’une preuve de bas niveau dans une bibliothèque commune, permettant au pirate de frapper 2 millions d’unités de $BNB sans déployer de crypto-monnaie pour sauvegarder l’échange. Après avoir sécurisé les unités 2M, le pirate a ensuite détourné des tranches de fonds vers d’autres protocoles de pontage décentralisés dans le but de « blanchir » les unités 2M dans différentes crypto-monnaies. L’attaquant a réussi à convertir l’équivalent de 57 millions de dollars en protocole de blockchain Fantom et son jeton natif, 53 millions de dollars supplémentaires en Ethereum et 400 000 dollars en Polygon.
Le billet du blog Binance a demandé aux parties prenantes de Binance – essentiellement, toute personne détenant $BNB – de participer à une série de sondages pour permettre une décision communautaire sur les prochaines étapes. Ces votes de gouvernance, qui se produiront en chaîne, décideront si les fonds piratés doivent rester gelés (on ne sait pas quelles répercussions cela pourrait avoir sur les utilisateurs) ou non. De plus, Binance organisera un vote sur la création d’un système de récompense de bug bounty – quelque chose que la plupart des blockchains proposent déjà et qui a conduit à de nombreuses exploitations « white hat » qui ont vu des fonds être siphonnés et restitués en échange de primes parfois d’un million de dollars.
L’une des promesses de la technologie blockchain, et des crypto-monnaies en particulier, est la décentralisation. Ceci est réalisé en ayant autant d’utilisateurs que possible portant une copie de la blockchain proprement dite, ce qui garantit qu’il existe toujours un moyen de trouver une véritable version de l’historique des transactions. Dans la plupart des blockchains, cependant, les validateurs ne sont pas effectués par l’utilisateur moyen de crypto-monnaie mais par des nœuds de confiance. Ces nœuds ont reçu le pouvoir de participer à l’enregistrement des transactions et à la sécurisation de la blockchain contre une attaque à 51 % (où toute personne contrôlant la moitié des validateurs peut créer ses propres transactions artificielles et les appliquer sur la blockchain avec finalité).
Mais la décentralisation signifie qu’aucun acteur ne peut modifier ou même arrêter l’écriture sur les registres publics qui constituent toutes les blockchains. La chaîne Binance, d’autre part, a été forcée de montrer sa main centralisée en ce sens qu’elle a réussi à contacter les 26 validateurs (44 au total sur différents fuseaux horaires), les alertant du vol et empêchant la création de nouveaux blocs de transactions. Cela a peut-être endigué l’hémorragie et empêché les fonds volés de quitter la chaîne. Pourtant, cela a sans aucun doute causé du stress aux utilisateurs, qui n’ont rien pu faire avec leurs fonds jusqu’au redémarrage de la chaîne, ce qui s’est produit plus tôt dans la journée.
Cela soulève également la question des futurs arrêts de la chaîne BNB et de ce que cela pourrait signifier pour les fonds des utilisateurs en cas de faux pas plus grave.
Bien qu’il existe des risques concernant la centralisation, on peut également plaider en faveur de l’impact du choix de Binance de ne pas arrêter sa chaîne. Avec deux millions d’unités supplémentaires de la pièce BNB apparaissant de nulle part, le prix de chaque $BNB lui-même chuterait nécessairement pour tenir compte de l’augmentation du nombre d’actifs. Si cette baisse était suffisamment importante et que la chaîne fonctionnait normalement, les utilisateurs pourraient paniquer et vendre leurs propres jetons BNB avant que le prix ne baisse davantage. Cela, à son tour, pourrait générer une vente de feu, les prix s’effondrant même si les acheteurs n’ont pas réussi à absorber les montagnes de BNB remises sur le marché après la liquidité recherchée. Une fois que ce cycle commence, il est extrêmement difficile de l’arrêter. Plusieurs sociétés cotées en bourse et blockchains ont vu ces événements se dérouler, la plupart avec des effets catastrophiques.
Suite à l’annonce de l’exploit, et peut-être quelque peu soutenu par l’impossibilité de vendre réellement des actifs, le jeton BNB n’a connu qu’une baisse de valeur de 3,35 %. Nous devrons attendre et voir ce que la communauté de Binance décidera à ce sujet – mais au moins pour l’instant, une crise semble avoir été évitée.