Binance évite ce qui aurait pu être l'un des plus grands hacks de l'histoire sur la BNB Chain
Cette nuit, un hacker a réussi à subtiliser 2 millions de tokens BNB (soit plus de 560 millions de dollars) sur le BSC Token Hub, le bridge servant à transférer des cryptomonnaies entre la BNB Beacon Chain et la BNB Smart Chain. Une partie des fonds ont été gelés, mais le hacker a tout de même réussi à garder l'équivalent de 100 millions de dollars sur différentes blockchains.
La BNB Chain sauvée par Binance et les validateurs
Tôt dans la nuit, la production de blocs a été stoppée sur la blockchain de Binance, la BNB Chain, suite à l'exploitation du bridge BSC Token Hub qui aurait pu coûter plus de 560 millions de dollars.
Due to irregular activity we're temporarily pausing BSC. We apologize for the inconvenience and will provide further updates here.
Thank you for your patience and understanding.
— BNB Chain (@BNBCHAIN) October 6, 2022
« Nous mettons la BNB Smart Chain à l'arrêt provisoirement suite à une activité anormale. Nous nous excusons pour le désagrément et vous tiendrons au courant de la suite ici. Merci pour votre patience et votre compréhension. »
Les premiers soupçons de hack ont été émis par Zane Huffman, responsable de la stratégie pour la plateforme de finance décentralisée (DeFi) Vesper Finance, sur Twitter :
Some gigawhale (possibly Binance) is making a massive on-chain leverage play in real-time.
Looks like a huge concentrated bet: Long $ETH vs stablecoins using $BNB collateral.https://t.co/5GFCv8AEzR
— GREEN JEFF (@jeffthedunker) October 6, 2022
Effectivement, après seulement 2 transactions, un wallet inconnu a transféré plus de 2 millions de tokens BNB (plus de 560 millions de dollars) sur différentes blockchains et différents protocoles. À ce moment-là, impossible de savoir si les mouvements sont les faits d'une whale ou s'il s'agit bien d'un hack.
Après de multiples investigations, les équipes de la BNB Chain confirment que l'arrêt de la blockchain est dû à un hack sur le bridge cross-chain BSC Token Hub, qui sert à transférer des tokens entre la BNB Beacon Chain (BEP2) et la BNB Smart Chain (BEP20 ou BSC).
Bien que le hacker ait transféré une certaine partie des cryptomonnaies volées, 80 % des fonds (~430 millions de dollars) sont restés sur la BNB Chain, la majorité des fonds ont donc été gelés suite à l'arrêt de la blockchain. Le réseau a été mis à jour avec avec un code supplémentaire visant à empêcher le hacker de pouvoir transférer ses fonds.
À l'heure où nous rédigeons ces lignes, la BNB Smart Chain est redémarrée et la production de blocs a repris.
Notons que bon nombre de personnes n'ont pas manqué de critiquer la vitesse à la quelle la blockchain a pu être mise à l'arrêt, signe d'une certaine centralisation de la blockchain de par son nombre réduit de validateurs.
? Retrouvez 7 bonnes pratiques pour protéger son portefeuille de cryptomonnaies d'un hack
Comment le hacker s'y est-il pris ?
À l'heure actuelle, la méthodologie utilisée par le hacker n'a pas encore été confirmée via un post mortem officiel, mais selon @samczsun, chercheur chez Paradigm, il aurait exploité le code du BSC Token Hub pour le « convaincre » de lui transférer 1 million de tokens BNB à 2 reprises.
Either Binance was finally running the biggest giveaway that Web3 had ever seen, or the attacker had found a critical bug
— samczsun (@samczsun) October 6, 2022
« Soit Binance a décidé de lancer le plus gros airdrop que le Web3 n'ait jamais vu, soit le hacker a trouvé une faille critique. »
Sans rentrer dans les détails, le bridge de Binance doit vérifier certaines informations lorsqu'une requête lui est envoyée pour transférer des cryptomonnaies, et le hacker aurait trouvé une façon de passer outre ces vérifications.
« En résumé, il y avait un bug dans la façon dont le bridge de Binance vérifiait les preuves, ce qui aurait pu permettre aux attaquants de falsifier des messages arbitraires. Heureusement, l'attaquant n'a falsifié que deux messages, mais les dommages auraient pu être bien pires. »
Une fois le premier million de tokens BNB en sa possession, le hacker les a déposés sur le protocole DeFi Venus Finance, notamment pour emprunter 150 millions de dollars de stablecoins (USDC, USDT, BUSD) avant de les swap pour obtenir 53 millions de dollars sous forme d'Ether (ETH), 57 millions de dollars sous forme de tokens PHM et enfin 400 000 dollars sous forme de tokens MATIC.
L'autre million de tokens BNB obtenu a quant à lui été envoyé en totalité sur le bridge Stargate.
Aperçu du wallet du hacker sur les différentes blockchains
Ainsi, à ce stade, la totalité des fonds détenus par le hacker sur la BNB Chain a été gelée, et Tether a blacklisté son adresse. Reste donc à savoir ce qu'il compte faire de ses fonds détenus sur les autres blockchains.
Le cours du token BNB n'a été toutefois que peu affecté. Effectivement, suite à une chute toutefois impressionnante sur le court terme, le token s'est stabilisé autour des 285 dollars, soit un écart de 8 dollars avec son cours initial de 293 dollars avant le vent de panique.
? À lire également - Un market maker subi un hack de 160 millions de dollars et se montre ouvert aux négociations
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission.
Les investissements dans les crypto-monnaies sont risqués. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital
Bonjour, très bon et intéressant article comme toujours et merci. Voici toutefois deux petites coquilles à corriger : "la totalité des fons" -> fonds (oubli du "d") et "ce qu'il comte faire" -> compte (manque le "p"). Merci et bonne journée