Mettez le pop-corn, parce que je jure que c’est vrai. Une plateforme de prêt inter-chaînes appelée Abracadabra Money a confirmé qu’un exploit a permis à un utilisateur de drainer au moins 6,49 millions de dollars de pièces stables basées sur Ethereum de son protocole (repéré pour la première fois par Le Web3 va très bien). Juste un avertissement que cette histoire implique un tas de jargon cryptographique que j’essaierai d’expliquer au fur et à mesure, mais rappelez-vous toujours : ces mots sont destinés à obscurcir, à confondre et à donner le vernis de réalité à l’abstrait mathématique.
Commençons par les chaudrons Ethereum. Ceux-ci permettent aux utilisateurs d’emprunter le stablecoin Magic Internet Money (MIM), oui vraiment, un stablecoin étant un crypto-token qui est en théorie indexé sur la valeur (et adossé à) une monnaie reconnue : en l’occurrence le dollar américain. Les utilisateurs peuvent emprunter MIM de cette manière en offrant divers autres actifs en garantie. Qu’est-ce qui pourrait mal se passer?
Entrez un sorcier noir, un utilisateur inconnu qui a commencé son attaque avec 1 ETH (environ 2 300 $), et selon un rapport de société de sécurité blockchain Certik a profité d’un « problème d’arrondi ». Ce qu’ils semblent avoir fait, ce sont des prêts spam en utilisant un logiciel de confusion appelé TornadoCash : emprunter et rembourser à plusieurs reprises d’une manière qui leur a permis d’accumuler des bénéfices pas si lentement, puis de transférer avec succès ces fonds vers un autre portefeuille crypto.
L’attaque a été remarquée pour la première fois par la société de sécurité blockchain PeckShield, et la perte a alors été estimée à 6,49 millions de dollars. Des estimations ultérieures ont évalué le montant à 10 millions de dollars, mais gardez à l’esprit que nous parlons ici d’actifs cryptographiques, et ont déclenché une plonger dans la valeur de, oui, le stablecoin Magic Internet Money.
Salut @MIM_Spell, vous voudrez peut-être y jeter un œil (avec une perte de 6,49 millions de dollars) pic.twitter.com/uHs0JweuoM30 janvier 2024
L’équipe de développement MIM a reconnu l’exploit et dit que c’est maintenant réparé, tandis que le stablecoin MIM, après avoir chuté à environ 77 cents en valeur à son plus bas niveau, est revenu dans la fourchette élevée de 90 cents. Mais rappelez-vous : tout l’intérêt de ces soi-disant pièces stables est qu’elles restent à 1:1 avec leur devise indexée. Nous n’en sommes donc pas encore à l’acte final.
L’équipe affirme en outre que les victimes seront indemnisées via un processus de rachat et de brûlage (liquidation de certaines devises pour augmenter la valeur globale du pot). Abracadabra est une plate-forme financière décentralisée, en termes cryptographiques, une DeFi, et tout l’intérêt de celle-ci est qu’elle est censée être sécurisée, robuste et imprenable. Et pourtant, nous y sommes : un attaquant s’est emparé de plusieurs millions d’actifs cryptographiques, les développeurs de MIM et d’Abracadabra ne pouvant que dire qu’ils ont été contenus.
Argent Internet magique dit maintenant que « à la suite du récent exploit, nous avons pris des mesures rapides pour sécuriser le protocole. La trésorerie du DAO est prête à garantir entièrement les 6,5 millions de dollars concernés, garantissant ainsi la sécurité des opérations. Nous avançons en toute confiance. »
A quoi, je suppose, on ne peut qu’ajouter : « tah-dah ! » Ce n’est même pas le premier moment douteux de Magic Internet Money, car il doit être désarrimé lors du crash de Terra en 2022, et vous vous demandez qui continue de donner à quelque chose comme ça le bénéfice du doute. Les gens investissent vraiment de l’argent dans ces choses et, vous savez, la leçon de morale cryptographique s’avère très souvent la même. Je ne dirais pas que c’est magique mais : maintenant vous le voyez, et maintenant non.