Hack de Wormhole : le voleur des 120 000 ETH se fait hacker à son tour
Un peu plus d’un an après qu’un hacker a dérobé 120 000 ETH sur le bridge de Wormhole, des whitehats ont réussi à piéger celui-ci à leur tour sur le protocole Oasis. Retour sur cet impressionnant revirement de situation.
Le hacker de Wormhole hacké
Le 2 février 2022, le bridge de Wormhole avait subi un hack impressionnant, permettant à une entité malintentionnée de voler 120 000 ETH pour une valeur de 320 millions de dollars à l’époque. Cela n’avait pas été sans conséquences, car une partie des ETH synthétiques (wETH) sur la blockchain Solana (SOL) n’étaient alors plus garantis. Pour empêcher un risque systémique, le fonds d’investissement Jump Crypto, qui avait investi dans le protocole, avait remplacé les ETH volés.
Dès lors avait été lancé un lourd travail d’investigation pour tenter de récupérer les fonds volés, et cette prouesse aurait eu lieu le 21 février dernier. En effet, le hacker a décidé d’utiliser l’application de prêts et d’emprunts Oasis, afin d’y faire travailler les fonds mal acquis.
Mais un groupe de whitehats a trouvé une faille dans Oasis, qui allait permettre de retourner la situation à leur avantage. Le protocole explique d’ailleurs dans un communiqué qu’il a reçu une ordonnance de la Haute Cour d’Angleterre et du Pays de Galles, pour permettre à l’opération de se dérouler comme il se doit. Ledit groupe de hackers éthiques avait effectivement approché les équipes d’Oasis avec une preuve de concept le 16 février dernier :
A statement regarding the transactions from the oasis multisig on 21st Feb 2023 https://t.co/ua78BAAEj4
— Summer.fi ☀ (formerly Oasis.app) (@summerfinance_) February 24, 2023
? Retrouvez notre guide sur les bonnes pratiques pour limiter le risque de hack
Ledger : la meilleure solution pour protéger vos cryptomonnaies 🔒Le déroulement de l’opération
Le hacker de Wormhole s’est donc fait hacker à son tour. L’opération, très complexe d’un point de vue technique, qui a permis la récupération des fonds, a été commentée en détail par nos confrères de Blockworks, et nous allons tenter de la simplifier au maximum pour la rendre compréhensible.
Ce hacker a ainsi ouvert une position sur Oasis, de manière à emprunter 78 millions de dollars de DAI, garantis par les fonds qu’ils avaient volés, alors sous la forme de wstETH. Afin de sécuriser son opération, il a ajouté un stop-loss automatisé, mais c’est là que le protocole Oasis présentait une faille qui a pu être exploitée.
En effet, les whitehats se sont aperçus qu’une telle opération permettait à un smart contrat contrôlé par l’adresse multisig d’Oasis d’avoir accès à ces fonds. Ces whitehats ont alors été ajoutés en tant que cosignataires dudit portefeuille mutlisig le temps de leur opération.
Après une multitude de manipulations, le groupe a ensuite réussi à déplacer les fonds, vers une adresse contrôlée « par un tiers autorisé », comme l’avait exigé le tribunal.
De son côté, Oasis a tenu à rassurer les utilisateurs :
« Ce qui s’est passé le 21 février 2023 n’a été possible qu’en raison d’une vulnérabilité jusque-là inconnue dans la conception de l’accès multisig administrateur. […] Il convient de noter qu’à aucun moment, dans le passé ou dans le présent, les actifs des utilisateurs n’ont été exposés au risque d’accès par une partie non autorisée. »
Si cette opération était légitime et doit être saluée, elle pourra néanmoins soulever des interrogations sur la véritable décentralisation de la finance décentralisée (DeFi), et montre que n’importe quels fonds sont à risque, dès l’instant où ils sont déposés sur un protocole.
? Dans l’actualité également – Selon le FMI, les avantages des cryptomonnaies « ne se sont pas encore matérialisés »
Cryptoast Academy : 75% de réduction avant le Black Friday pour fêter le bullrunSources : Blockworks, Oasis
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.
Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.
Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.
Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.