Une faille dans le code du protocole de bzX

Hier, le protocole bZx a été victime d'une nouvelle attaque envers son protocole. En raison d'un incident de duplication de tokens, le fonds d'assurance du protocole a provisoirement accumulé une dette.

Tout commence lorsque l'équipe de bZx remarque un étrange mouvement en ce qui concerne la valeur totale verrouillée (TVL) dans le protocole. Plus précisément, la TVL a drastiquement chuté dans un très court intervalle, ce qui a provoqué l'interrogation des développeurs.

Ils ont rapidement partagé l'information sur Twitter, en confirmant qu'un incident de duplication s'était produit avec plusieurs des iTokens. Ces tokens correspondent avec un ratio 1:1 aux actifs sous-jacents déposés dans le protocole :

Bien que les opérations de prêt et de retrait aient été interrompues et le code du contrat des iTokens corrigé, les attaquants sont parvenus à exploiter le bug.

Les pertes sont donc considérables. La personne à l'origine de l'attaque a ainsi dupliqué des tokens pour un montant de 8,1 millions de dollars. Une duplication qui se répartit comme suit :

  • 219 000 LINK (environ 2 628 000$)
  • 4 503 ETH (environ 1 637 000$)
  • 1 756 000 USDT
  • 1 412 000 USDC
  • 668 000 DAI

Comme l'a précisé bZx dans un second tweet, les fonds des utilisateurs « ne sont pas en danger », les tokens ayant été débités du fonds d'assurance du protocole et non des portefeuilles des utilisateurs.

👉 Les détails techniques de l'incident sont consultables ici

Un projet pourtant audité par deux sociétés

Le protocole a fait l'objet d'un audit approfondi par deux sociétés de sécurité, Peckshield et Certik. L'audit de Peckshield a duré 12 semaines, la même durée que l'audit effectué pour MakerDAO sur les contracts de génération du stablecoin Dai. L'audit de Certika a lui représenté 7 semaines de travail.

Malheureusement, cela n'aura pas suffi à combler cette récente faille du protocole bZx. L'équipe du projet explique la présence de cette faille en raison de la taille de son code :

« Notre protocole est le protocole de prêt le plus performant et le plus fonctionnel du secteur, ce qui signifie qu'il y a beaucoup de code à couvrir. C'est en partie sa portée et ses ambitions qui le rendent plus difficile à sécuriser que beaucoup d'autres projets. »

Malgré des critiques envers bZx, beaucoup se sont rapidement portés à sa défense. C'est notamment le cas de Stani Kulechov, fondateur du protocole Aave, qui s'est exprimé sur Twitter :

« L'incident de bZx a récemment montré qu'il est plus facile de forker que de faire [son propre protocole]. Ils ont fait l'objet de multiples audits, de vérifications formelles et ont pris un temps considérable avant de revenir sur le mainnet et pourtant toute cette diligence ne garantit pas la sécurité. Une chose que tout utilisateur de la DeFi devrait comprendre ».

Cet incident rappelle à quel point l'audit d'un projet dans le domaine de la finance décentralisée est primordial. Avant d'investir dans un protocole, il est vivement conseillé d'attendre que celui-ci soit audité par des sociétés spécialisées, ce qui permet - a priori - de s'assurer de sa sécurité.

👉 Pour aller plus loin : DeFi : les tokens HOTDOG et PIZZA calcinés à 99% en quelques minutes

 

Bien que l'équipe bZx assure que tout est maintenant sous contrôle, la confiance de la crypto-communauté envers ce protocole est au plus bas. Cette attaque étant déjà la 3e de l'année à l'encontre de bZx, il est difficile de croire en sa capacité à fournir un service véritablement sécurisé.

Toutefois, avec l'ampleur de cette attaque, il est envisageable que bZx prennent des mesures à la hauteur de cette faille, notamment en faisant ré-auditer son code par d'autres sociétés.

👉 Sur le même thème : DeFi : un hacker subtilise $350k en exploitant le protocole Fulcrum de bZx

Newsletter 🍞
Recevez un récapitulatif de l'actualité crypto chaque dimanche 👌 Et c'est tout.

A propos de l'auteur : Clément Wardzala

twitter-soothsayerdatatwitter-soothsayerdata

Rédacteur en chef de Cryptoast, je découvre le Bitcoin et la technologie blockchain en 2017. Depuis, je m'efforce de partager un contenu qualitatif pour que le secteur se démocratise auprès de tous.
Tous les articles de Clément Wardzala.

guest
0 Commentaires
Inline Feedbacks
View all comments