Hack de Wormhole : le voleur des 120 000 ETH se fait hacker à son tour

Le hacker de Wormhole hacké

Le 2 février 2022, le bridge de Wormhole avait subi un hack impressionnant, permettant à une entité malintentionnée de voler 120 000 ETH pour une valeur de 320 millions de dollars à l’époque. Cela n’avait pas été sans conséquences, car une partie des ETH synthétiques (wETH) sur la blockchain Solana (SOL) n’étaient alors plus garantis. Pour empêcher un risque systémique, le fonds d’investissement Jump Crypto, qui avait investi dans le protocole, avait remplacé les ETH volés.

Dès lors avait été lancé un lourd travail d’investigation pour tenter de récupérer les fonds volés, et cette prouesse aurait eu lieu le 21 février dernier. En effet, le hacker a décidé d’utiliser l’application de prêts et d’emprunts Oasis, afin d’y faire travailler les fonds mal acquis.

Mais un groupe de whitehats a trouvé une faille dans Oasis, qui allait permettre de retourner la situation à leur avantage. Le protocole explique d’ailleurs dans un communiqué qu’il a reçu une ordonnance de la Haute Cour d’Angleterre et du Pays de Galles, pour permettre à l’opération de se dérouler comme il se doit. Ledit groupe de hackers éthiques avait effectivement approché les équipes d’Oasis avec une preuve de concept le 16 février dernier :

A statement regarding the transactions from the oasis multisig on 21st Feb 2023 https://t.co/ua78BAAEj4

— Summer.fi ☀ (formerly Oasis.app) (@summerfinance_) February 24, 2023

? Retrouvez notre guide sur les bonnes pratiques pour limiter le risque de hack

Le déroulement de l’opération

Le hacker de Wormhole s’est donc fait hacker à son tour. L’opération, très complexe d’un point de vue technique, qui a permis la récupération des fonds, a été commentée en détail par nos confrères de Blockworks, et nous allons tenter de la simplifier au maximum pour la rendre compréhensible.

Ce hacker a ainsi ouvert une position sur Oasis, de manière à emprunter 78 millions de dollars de DAI, garantis par les fonds qu’ils avaient volés, alors sous la forme de wstETH. Afin de sécuriser son opération, il a ajouté un stop-loss automatisé, mais c’est là que le protocole Oasis présentait une faille qui a pu être exploitée.

En effet, les whitehats se sont aperçus qu’une telle opération permettait à un smart contrat contrôlé par l’adresse multisig d’Oasis d’avoir accès à ces fonds. Ces whitehats ont alors été ajoutés en tant que cosignataires dudit portefeuille mutlisig le temps de leur opération.

Après une multitude de manipulations, le groupe a ensuite réussi à déplacer les fonds, vers une adresse contrôlée « par un tiers autorisé », comme l’avait exigé le tribunal.

De son côté, Oasis a tenu à rassurer les utilisateurs :

« Ce qui s’est passé le 21 février 2023 n’a été possible qu’en raison d’une vulnérabilité jusque-là inconnue dans la conception de l’accès multisig administrateur. […] Il convient de noter qu’à aucun moment, dans le passé ou dans le présent, les actifs des utilisateurs n’ont été exposés au risque d’accès par une partie non autorisée. »

Si cette opération était légitime et doit être saluée, elle pourra néanmoins soulever des interrogations sur la véritable décentralisation de la finance décentralisée (DeFi), et montre que n’importe quels fonds sont à risque, dès l’instant où ils sont déposés sur un protocole.

? Dans l’actualité également – Selon le FMI, les avantages des cryptomonnaies « ne se sont pas encore matérialisés »

Sources : Blockworks, Oasis

Depuis 2021, je consacre mon temps libre à me former sérieusement sur les cryptomonnaies afin d'acquérir un maximum de connaissances et de crédibilité. J'ai souvent l'opportunité de réaliser des interviews de personnalités influentes de l'industrie blockchain. Je mène également des analyses approfondies sur des thématiques du Web3 pour proposer du contenu exclusif aux lecteurs de Cryptoast.

Vincent Maire

2225 articles

Tous ses articles