Une plate-forme de finance décentralisée (DeFi) appelée Wormhole a déclaré mercredi qu’un pirate informatique s’était emparé d’environ 322 millions de dollars de crypto-monnaie.
Le braquage a été rendu possible par une faille dans Wormhole Portal, un « pont à jetons » qui permet aux gens d’échanger une crypto-monnaie contre une quantité équivalente d’une autre. Le service prend actuellement en charge les blockchains Avalanche, Oasis, Binance Smart Chain, Ethereum, Polygon, Solana et Terra. (Plus de détails peuvent être trouvés dans la documentation de Portal.)
Le portail s’appuie sur des contrats intelligents pour fonctionner. Selon The Record, quelqu’un a exploité une faille dans ces contrats pour « inciter le projet Wormhole à libérer des pièces Ether (ETH) et Solana (SOL) bien au-delà de l’entrée qu’ils ont initialement fournie », c’est ainsi qu’ils ont réussi à voler 322 millions de dollars. des jetons.
Une ventilation technique plus détaillée a été partagée par l’utilisateur de Twitter « @samczsun », qui a collaboré avec « @gf_256 » et « @ret2jazzy » pour enquêter sur la faille de Portal :
Comment l’exploit @wormholecrypto a-t-il fonctionné ? J’ai uni mes forces avec @gf_256 et @ret2jazzy pour désosser l’exploit, et maintenant qu’il a été corrigé, nous pouvons enfin le partager avec vous? pic.twitter.com/lXwD0GLZ3N3 février 2022
« tl;dr – Wormhole n’a pas correctement validé tous les comptes d’entrée », ils expliqué dans un tweet de suivi, « qui a permis à l’attaquant d’usurper les signatures des tuteurs et de frapper 120 000 ETH sur Solana, dont 93 750 ont été renvoyés à Ethereum ».
Coinbase place Ethereum à environ 2 610 $ au moment de la rédaction, donc le transport vaut actuellement environ 245 millions de dollars. (Cela fait partie du problème du vol de crypto-monnaie – la volatilité du marché signifie que 322 millions de dollars d’actifs peuvent chuter à 245 millions de dollars du jour au lendemain. Personne ne devrait se sentir mal pour les pirates, bien sûr.)
Wormhole a ensuite demandé au pirate informatique de restituer les actifs. « Nous avons remarqué que vous pouviez exploiter la vérification Solana VAA et les jetons de menthe », a-t-il déclaré. « Mer [sic] tiens à t’offrir un chapeau blanc [sic] accord, et vous présenter une prime de bogue de 10 millions de dollars pour les détails de l’exploit, et renvoyer le [wrapped Ethereum] vous avez [sic] frappé. »
Ces arrangements – dans lesquels un pirate informatique vole des centaines de millions de dollars de crypto et se voit offrir une prime pour son retour – sont étonnamment courants. Par exemple, Poly Network a utilisé la même tactique lorsque 600 millions de dollars lui ont été volés l’année dernière, et plus tôt cette semaine, Qubit Finance offert 2 millions de dollars pour le retour de 80 millions de dollars.
Mais, comme le note The Record, ces primes de bogue rétroactives ne sont pas légales dans toutes les juridictions. Ils incitent également les pirates à exploiter les vulnérabilités de ces projets DeFi. S’ils parviennent à voler une quantité importante de crypto-monnaie, ils peuvent décider s’ils veulent conserver leurs gains mal acquis ou se contenter d’une plus petite prime.
Wormhole a déclaré ce matin avoir restitué les fonds volés :
1/2Tous les fonds ont été restaurés et Wormhole est de retour. Nous vous sommes profondément reconnaissants de votre soutien et vous remercions de votre patience.3 février 2022
La société n’a pas précisé si les fonds ont été restitués parce que le pirate a pris la prime, si elle a trouvé un autre moyen de récupérer les fonds ou si elle utilise ses propres actifs pour couvrir la perte. Mais ça l’a fait dire il travaille sur « un rapport d’incident détaillé et le partagera dès que possible ». On espère que ce rapport traitera de la restauration de ces fonds.