Hack de Wormhole : le voleur des 120 000 ETH se fait hacker à son tour

Un peu plus d’un an après qu’un hacker a dérobé 120 000 ETH sur le bridge de Wormhole, des whitehats ont réussi à piéger celui-ci à leur tour sur le protocole Oasis. Retour sur cet impressionnant revirement de situation.

Hack de Wormhole : le voleur des 120 000 ETH se fait hacker à son tour

Le hacker de Wormhole hacké

Le 2 février 2022, le bridge de Wormhole avait subi un hack impressionnant, permettant à une entité malintentionnée de voler 120 000 ETH pour une valeur de 320 millions de dollars à l’époque. Cela n’avait pas été sans conséquences, car une partie des ETH synthétiques (wETH) sur la blockchain Solana (SOL) n’étaient alors plus garantis. Pour empêcher un risque systémique, le fonds d’investissement Jump Crypto, qui avait investi dans le protocole, avait remplacé les ETH volés.

Dès lors avait été lancé un lourd travail d’investigation pour tenter de récupérer les fonds volés, et cette prouesse aurait eu lieu le 21 février dernier. En effet, le hacker a décidé d’utiliser l’application de prêts et d’emprunts Oasis, afin d’y faire travailler les fonds mal acquis.

Mais un groupe de whitehats a trouvé une faille dans Oasis, qui allait permettre de retourner la situation à leur avantage. Le protocole explique d’ailleurs dans un communiqué qu’il a reçu une ordonnance de la Haute Cour d’Angleterre et du Pays de Galles, pour permettre à l’opération de se dérouler comme il se doit. Ledit groupe de hackers éthiques avait effectivement approché les équipes d’Oasis avec une preuve de concept le 16 février dernier :

? Retrouvez notre guide sur les bonnes pratiques pour limiter le risque de hack

Ledger : la meilleure solution pour protéger vos cryptomonnaies 🔒
Publicité - Investir comporte des risques (en savoir plus)

Le déroulement de l’opération

Le hacker de Wormhole s’est donc fait hacker à son tour. L’opération, très complexe d’un point de vue technique, qui a permis la récupération des fonds, a été commentée en détail par nos confrères de Blockworks, et nous allons tenter de la simplifier au maximum pour la rendre compréhensible.

Ce hacker a ainsi ouvert une position sur Oasis, de manière à emprunter 78 millions de dollars de DAI, garantis par les fonds qu’ils avaient volés, alors sous la forme de wstETH. Afin de sécuriser son opération, il a ajouté un stop-loss automatisé, mais c’est là que le protocole Oasis présentait une faille qui a pu être exploitée.

En effet, les whitehats se sont aperçus qu’une telle opération permettait à un smart contrat contrôlé par l’adresse multisig d’Oasis d’avoir accès à ces fonds. Ces whitehats ont alors été ajoutés en tant que cosignataires dudit portefeuille mutlisig le temps de leur opération.

Après une multitude de manipulations, le groupe a ensuite réussi à déplacer les fonds, vers une adresse contrôlée « par un tiers autorisé », comme l’avait exigé le tribunal.

De son côté, Oasis a tenu à rassurer les utilisateurs :

« Ce qui s’est passé le 21 février 2023 n’a été possible qu’en raison d’une vulnérabilité jusque-là inconnue dans la conception de l’accès multisig administrateur. […] Il convient de noter qu’à aucun moment, dans le passé ou dans le présent, les actifs des utilisateurs n’ont été exposés au risque d’accès par une partie non autorisée. »

Si cette opération était légitime et doit être saluée, elle pourra néanmoins soulever des interrogations sur la véritable décentralisation de la finance décentralisée (DeFi), et montre que n’importe quels fonds sont à risque, dès l’instant où ils sont déposés sur un protocole.

? Dans l’actualité également – Selon le FMI, les avantages des cryptomonnaies « ne se sont pas encore matérialisés »

Cryptoast Academy : 75% de réduction avant le Black Friday pour fêter le bullrun
Publicité

Sources : Blockworks, Oasis

La Newsletter crypto n°1 🍞

Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌

Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission.


Les investissements dans les crypto-monnaies sont risqués. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital

Subscribe
Me notifier des
guest
0 Commentaires
Inline Feedbacks
View all comments
Voir plus
Tout voir

Cryptoast

Le site qui explique tout de A à Z sur le Bitcoin, la blockchain et les crypto-monnaies. Des actualités et des articles explicatifs pour découvrir et progresser dans ces secteurs !


Les articles les plus lus

« Nous n’avons pas le droit de posséder des bitcoins » : Jerome Powell entraîne la baisse des cryptomonnaies

« Nous n’avons pas le droit de posséder des bitcoins » : Jerome Powell entraîne la baisse des cryptomonnaies

Salvador : Bukele achète 1 million de dollars de Bitcoins 24 heures après son accord avec le FMI

Salvador : Bukele achète 1 million de dollars de Bitcoins 24 heures après son accord avec le FMI

1 milliard de dollars de liquidations : le marché crypto voit rouge

1 milliard de dollars de liquidations : le marché crypto voit rouge

La perspective d'une réserve stratégique en Bitcoins (BTC) aux États-Unis serait-elle en train de s'effacer ?

La perspective d'une réserve stratégique en Bitcoins (BTC) aux États-Unis serait-elle en train de s'effacer ?