bZx subit une nouvelle attaque, 4 jours seulement après la dernière
le 19 février 2020 à 9:45.
2 minutes de lecture
La plateforme de finance décentralisée bZx a subi une nouvelle attaque hier. Elle a permis de dégager plus de 600 000 dollars en ETH. Cela fait naître des questions sur la robustesse de ce type de plateformes, qui sont à l’heure actuelle encore particulièrement vulnérables.
Sale temps pour bZx
Comme nous vous le rapportions en début de semaine, la plateforme de finance décentralisée (DeFi) bZx avait déjà subi une attaque importante le 15 février. Se distinguant par sa complexité, elle avait permis à l’attaquant de repartir avec 350 000 dollars. Elle avait utilisé une vulnérabilité de bZx, qui ne dispose que d’un seul oracle, afin de tromper le système. Mais comme le rapportait l’entreprise, les fonds des utilisateurs n’avaient pas été touchés.
👉 Découvrez notre dossier sur la finance décentralisée (DeFi)
Une seconde attaque encore plus importante sur bZx
Comme l’explique le média CoinDesk, bZx a subi une seconde attaque, quatre jours après la première. Cette fois, ce sont 630 000 dollars en Ether (ETH) qui ont été tirés de la plateforme.
Comme l’explique un communiqué de l’entreprise sur Twitter, cette seconde attaque se distingue de la première :
1/ WHAT WE KNOW SO FAR: There was a second attack. This attack was completely different from the first. This time it was an oracle manipulation attack, a modified version of the original exploit we worked closely with @samczsun to fix: https://t.co/lDcyDQf44i
— bZx (@bzxHQ) February 18, 2020
Traduction : « Ce que nous savons pour l’instant : il y a eu une seconde attaque. Cette attaque est complètement différente de la première. Cette fois, il s’agit d’une manipulation de l’oracle, une version modifiée de l’exploit original que nous avons résolu en travaillant avec @samczsun. »
Selon un utilisateur Twitter, l’attaque s’est déroulée en plusieurs étapes. Les attaquants ont souscrit à un emprunt instantané (« flash loan ») de 7 500 ETH, et ont utilisé 3 518 de ces derniers pour acheter du sUSD, qu’ils ont bloqué en tant que garantie pour un prêt de bZx. Ils ont ensuite utilisé 900 ETH pour augmenter artificiellement la valeur du sUSD grâce au service Kyber. Puis ils ont utilisé cette garantie artificiellement augmentée afin de souscrire à un autre prêt de 6 796 ETH, qui a lui-même servi à repayer les 7 500 ETH originaux. Les attaquants ont pu au final empocher la différence, soit 2 378 ETH.
La DeFi : une nouvelle cible ?
Comme l’ont pointé du doigt plusieurs commentateurs, ces attaques successives semblent être inévitables pour l’instant. La DeFi est un secteur encore balbutiant, qui construit en direct ses remparts de sécurité. Le secteur est donc particulièrement alléchant pour les attaquants. Pour les entreprises du secteur, il s’agit donc de muscler leurs procédures de sécurité, qui vont être testées en grandeur nature dans les semaines et mois à venir.
Une situation dont bZx est bien conscient, puisque l’entreprise a souhaité se montrer rassurante sur Twitter :
4/ We are working closely with @chainlink and other oracle providers to create a more robust oracle and reduce the surface area of attacks against our protocol.
— bZx (@bzxHQ) February 18, 2020
Traduction : « Nous travaillons avec @chainlink et d’autres fournisseurs d’oracles afin de créer un oracle plus robuste et réduire la surface qui reste vulnérable à ces attaques contre notre protocole. »
? Pour aller plus loin, lisez les dernières nouvelles de la DeFi
Recevez un récapitulatif de l'actualité crypto chaque lundi par mail 👌
Journaliste chez Cryptoast, je suis tombée dans la marmite des cryptomonnaies depuis 2017. Je suis passionnée par les enjeux de décentralisation, de vie privée, et les retentissements globaux de ces nouvelles technologies.
Marine Debelloir
2937 articles
