DeFi : le protocole bZx subit une 3e attaque et perd 8 millions de dollars

Le protocole de prêt de la finance décentralisée bZx vient de subir une attaque d'une ampleur considérable. Les pertes atteignent environ 8 millions de dollars. Cela survient sept mois après qu'il ait été victime de deux exploitations de failles, qui ont fait perdre au protocole plus de 950 000 dollars.

DeFi : le protocole bZx subit une 3e attaque et perd 8 millions de dollars

Une faille dans le code du protocole de bzX

Hier, le protocole bZx a été victime d'une nouvelle attaque envers son protocole. En raison d'un incident de duplication de tokens, le fonds d'assurance du protocole a provisoirement accumulé une dette.

Tout commence lorsque l'équipe de bZx remarque un étrange mouvement en ce qui concerne la valeur totale verrouillée (TVL) dans le protocole. Plus précisément, la TVL a drastiquement chuté dans un très court intervalle, ce qui a provoqué l'interrogation des développeurs.

Ils ont rapidement partagé l'information sur Twitter, en confirmant qu'un incident de duplication s'était produit avec plusieurs des iTokens. Ces tokens correspondent avec un ratio 1:1 aux actifs sous-jacents déposés dans le protocole :

https://twitter.com/bZxHQ/status/1305189177730891776

Bien que les opérations de prêt et de retrait aient été interrompues et le code du contrat des iTokens corrigé, les attaquants sont parvenus à exploiter le bug.

Les pertes sont donc considérables. La personne à l'origine de l'attaque a ainsi dupliqué des tokens pour un montant de 8,1 millions de dollars. Une duplication qui se répartit comme suit :

  • 219 000 LINK (environ 2 628 000$)
  • 4 503 ETH (environ 1 637 000$)
  • 1 756 000 USDT
  • 1 412 000 USDC
  • 668 000 DAI

Comme l'a précisé bZx dans un second tweet, les fonds des utilisateurs « ne sont pas en danger », les tokens ayant été débités du fonds d'assurance du protocole et non des portefeuilles des utilisateurs.

? Les détails techniques de l'incident sont consultables ici

Un projet pourtant audité par deux sociétés

Le protocole a fait l'objet d'un audit approfondi par deux sociétés de sécurité, Peckshield et Certik. L'audit de Peckshield a duré 12 semaines, la même durée que l'audit effectué pour MakerDAO sur les contracts de génération du stablecoin Dai. L'audit de Certika a lui représenté 7 semaines de travail.

Malheureusement, cela n'aura pas suffi à combler cette récente faille du protocole bZx. L'équipe du projet explique la présence de cette faille en raison de la taille de son code :

« Notre protocole est le protocole de prêt le plus performant et le plus fonctionnel du secteur, ce qui signifie qu'il y a beaucoup de code à couvrir. C'est en partie sa portée et ses ambitions qui le rendent plus difficile à sécuriser que beaucoup d'autres projets. »

Malgré des critiques envers bZx, beaucoup se sont rapidement portés à sa défense. C'est notamment le cas de Stani Kulechov, fondateur du protocole Aave, qui s'est exprimé sur Twitter :

https://twitter.com/StaniKulechov/status/1305265162400788485

« L'incident de bZx a récemment montré qu'il est plus facile de forker que de faire [son propre protocole]. Ils ont fait l'objet de multiples audits, de vérifications formelles et ont pris un temps considérable avant de revenir sur le mainnet et pourtant toute cette diligence ne garantit pas la sécurité. Une chose que tout utilisateur de la DeFi devrait comprendre ».

Cet incident rappelle à quel point l'audit d'un projet dans le domaine de la finance décentralisée est primordial. Avant d'investir dans un protocole, il est vivement conseillé d'attendre que celui-ci soit audité par des sociétés spécialisées, ce qui permet - a priori - de s'assurer de sa sécurité.

? Pour aller plus loin : DeFi : les tokens HOTDOG et PIZZA calcinés à 99% en quelques minutes

 

Bien que l'équipe bZx assure que tout est maintenant sous contrôle, la confiance de la crypto-communauté envers ce protocole est au plus bas. Cette attaque étant déjà la 3e de l'année à l'encontre de bZx, il est difficile de croire en sa capacité à fournir un service véritablement sécurisé.

Toutefois, avec l'ampleur de cette attaque, il est envisageable que bZx prennent des mesures à la hauteur de cette faille, notamment en faisant ré-auditer son code par d'autres sociétés.

💡 Sur le même thème : DeFi : un hacker subtilise $350k en exploitant le protocole Fulcrum de bZx

La Newsletter crypto n°1 🍞

Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌

Subscribe
Me notifier des
guest
0 Commentaires
Inline Feedbacks
View all comments
Voir plus
Tout voir

Cryptoast

Le site qui explique tout de A à Z sur le Bitcoin, la blockchain et les crypto-monnaies. Des actualités et des articles explicatifs pour découvrir et progresser dans ces secteurs !


Les articles les plus lus

Les ETF Bitcoin spot enregistrent un record de flux sortants – Les élections américaines marquent-elles la fin de la hausse ?

Les ETF Bitcoin spot enregistrent un record de flux sortants – Les élections américaines marquent-elles la fin de la hausse ?

Le gouvernement va surveiller les recherches en ligne des Français, en s'appuyant sur l'intelligence artificielle (IA)

Le gouvernement va surveiller les recherches en ligne des Français, en s'appuyant sur l'intelligence artificielle (IA)

Uniswap (UNI), Dogecoin (DOGE), Solana (SOL)  : ces cryptomonnaies qui explosent à la hausse suite à l’élection présidentielle américaine

Uniswap (UNI), Dogecoin (DOGE), Solana (SOL)  : ces cryptomonnaies qui explosent à la hausse suite à l’élection présidentielle américaine

Ingenico et Crypto.com dévoilent une solution de paiement en cryptomonnaies pour les commerçants du monde entier

Ingenico et Crypto.com dévoilent une solution de paiement en cryptomonnaies pour les commerçants du monde entier