Un hacker exploite une faille du protocole BadgerDAO et dérobe 120 millions de dollars aux utilisateurs

BadgerDAO se fait dérober 120 millions de dollars

Un hacker est parvenu à exploiter une faille du protocole BadgerDAO, lequel propose des produits de la finance décentralisée (DeFi) aux détenteurs de bitcoins (BTC).

Les premiers échos indiquaient que le montant des fonds siphonnés au protocole s'élevait à 10 millions de dollars, mais les données relevées par l'entreprise PeckShield montrent que les pertes sont sensiblement plus lourdes.

En effet, au moment des faits, le butin du hacker représentait l'équivalent de 120,3 millions de dollars, puisqu'il a dérobé 2 109 BTC et 151 ETH.

Un utilisateur s'est fait siphonner l'entièreté de son portefeuille, d'une valeur d'environ 906,5 bitcoins (51,2 millions de dollars) en une seule transaction.

Here is the current whereabouts as well as the total loss: $120.3M (with ~2.1k BTC + 151 ETH) @BadgerDAO pic.twitter.com/fJ4hJcMWTq

— PeckShield Inc. (@peckshield) December 2, 2021

BadgerDAO a rapidement confirmé l'attaque, en indiquant sur Twitter :

« Badger a reçu des rapports concernant des retraits non autorisés de fonds d'utilisateurs. Pendant que les ingénieurs de Badger enquêtent sur cette affaire, tous les smart contrats ont été mis en pause pour empêcher d'autres retraits. Notre enquête est en cours et nous publierons de plus amples informations dès que possible. »

Que s'est-il réellement passé ? Sur ce point, PeckShield indique qu'une faille de BadgerDAO a été exploitée par l'intermédiaire de l'interface utilisateur, et non depuis les smart contracts du protocole.

Les utilisateurs concernés par cette attaque expliquent que lorsqu'ils ont voulu récupérer leurs récompenses liées à leur yield farming, leurs portefeuilles leur ont demandé des autorisations supplémentaires.

« Il semblerait qu'un certain nombre d'utilisateurs avaient défini des autorisations pour l'adresse du hacker permettant à ce dernier d'interagir avec les fonds de leur portefeuille et cela a été exploité, » a précisé Tritium, un contributeur de Badger.

En termes de valeur dérobée, il s'agit du 4e plus grand hack de l'histoire de la finance décentralisée. Comme l'indique le leaderboard de Rekt, le podium est pour le moment composé de Poly Network (610 millions de dollars), Compound (147 millions de dollars) et Cream Finance (130 millions de dollars).

Peu après les premières rumeurs concernant ce hack, le cours du token BADGER a débuté sa chute. Le token du protocole éponyme a perdu près de 19% sur une période de 10 heures, ce qui s'avère relativement léger pour une attaque aussi compromettante pour le protocole.

Évolution du cours du token BADGER – Source : TradingView

💡 Sur le même thème – Le « stablecoin » SafeDollar tombe à zéro après l'exploitation d'une faille de son protocole

Que faire si vous avez déjà utilisé BadgerDAO ?

Afin de vous prémunir d'une quelconque perte éventuelle, vous devez suivre quelques étapes pour sécuriser vos fonds.

Rendez-vous sur cette page d'Etherscan, qui permet de révoquer vos approbations de n'importe quelle application décentralisée.

Cliquez sur le bouton « Connect to Web3 » pour connecter votre portefeuille. Ensuite, renseignez cette adresse « 0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107 ». Il s'agit de l'adresse du hacker.

Si votre recherche donne un résultat, révoquez simplement l'approbation avec le bouton « Revoke ».

À l'heure de l'écriture de ces lignes, BagderDAO est certainement en train de travailler au déploiement d'un correctif, mais prenez tout de même quelques minutes pour vérifier que vous n'êtes pas touchés par le hack.

💡 Sur le même thème – Un hacker dérobe plus de 130 millions de dollars au protocole Cream Finance

Directeur de publication de Cryptoast, je découvre le Bitcoin et la technologie blockchain en 2017. Depuis, je m'efforce de partager un contenu qualitatif pour que le secteur se démocratise auprès de tous.

Clément Wardzala

1866 articles

Tous ses articles