Un hacker exploite une faille sur le bridge de Meter et subtilise 4,3 millions de dollars
Troisième hack en moins de deux semaines pour les bridges cross-chain. Cette fois, c'est Meter Passport, le bridge de Meter, qui s'est fait exploiter à hauteur de 4,3 millions de dollars suite à une faille dans son code. Cela a également causé une dépréciation de la valeur du BNB sur Moonriver, permettant à des utilisateurs de faire des prêts à moindre coût.
Le bridge de Meter hacké
Meter Passport, le bridge de la sidechain Meter, a subi un hack à hauteur de 4,3 millions de dollars le 5 février vers 15h. L'exploit concerne le smart contract Moonriver, lequel est basé sur Kusama, le testnet de la blockchain Polkadot.
Community, we really appreciate everyone's patience and support as we work to get back up and running after this morning's exploit.
We have detailed everything in the below thread:
— ⚡️Meter.io⚡️ (@Meter_IO) February 5, 2022
Selon le rapport technique de l'attaque effectué par Certik, une société spécialisée dans la sécurité des blockchains, le hacker aurait dérobé plus de 4,2 millions de dollars sous forme d'ETH et 83 000 dollars sous forme de wBTC (wrapped bitcoin).
Il aurait réussi à introduire un code pernicieux dans une fonction de dépôt du bridge, lui faisant croire qu'il avait déposé des wETH (wrapped Ether), avant de s'en servir pour frapper (mint) des tokens BNB et wETH afin de les revendre sur SushiSwap.
Afin de couvrir ses arrières, le hacker a ensuite envoyé son butin sur Tornado Cash, un protocole qui permet de mixer les tokens pour les rendre intraçables.
? À lire sur le même sujet : Un hacker exploite une faille sur la plateforme OpenSea et subtilise 750 000 dollars
Cryptoast Academy : Ne gâchez pas ce bull run, entourez vous d'expertsUne dépréciation des BNB sur Moonriver
Mais le problème ne s'arrête malheureusement pas au hack en lui-même. Le hacker ayant revendu ses BNB dérobés sur l'exchange SushiSwap, cela a provoqué un crash du prix du token à hauteur de 77% sur Moonriver.
Se faisant, des utilisateurs en ont profité pour acheter des BNB à moindre prix sur le protocole Hundred Finance avant de s'en servir comme collateral pour emprunter des MIM, des FRAX ou encore des ETH.
L'équipe de Hundred Finance a publiquement demandé à ce que les personnes ayant profité de cette faille retournent leurs fonds afin de ne pas pénaliser toute la communauté.
3/4. We would like to request that owners of the accounts that did so consider returning the assets borrowed so that other users are able to access their liquidity. 1 acc. holder has already done so and we are willing to pay further bounties to remaining 3 for doing the same.
— Hundred Finance (@HundredFinance) February 6, 2022
À l'heure où nous écrivons ces lignes, les prêts en ETH ont été retournés dans leur totalité. Cependant, la plateforme observe toujours un manque à gagner de 3,3 millions de dollars.
Meter a cependant reconnu être responsable de la situation et s'engage à rembourser Hundred Finance :
« Meter a bien sûr accepté la responsabilité de ce hack et a l'intention d'utiliser son token natif [MTRG] pour le remboursement dans la mesure du possible. Nous collectons actuellement les différentes adresses et le montant correspondant pour chacune d'entre elles. » - Vfat, le fondateur de Hundred Finance, dans un communiqué auprès de Rekt News.
Les bridges cross-chain en difficulté
Malgré ce coup dur, Meter a su réagir rapidement et a annoncé avoir comblé le manque causé à la suite du hack en réinjectant des tokens BNB et wETH sur sa propre plateforme afin de retrouver le ratio initial 1:1.
Cependant, il s'agit du troisième hack de bridge en l'espace de deux semaines, et surtout, il s'agit de trois procédés tout à fait similaires. Effectivement, nous vous l'annoncions le 28 janvier, le bridge de Qubit Finance avait subi un exploit à hauteur de 80 millions de dollars.
Moins d'une semaine après, c'était au tour du protocole Wormhole de se faire subtiliser 320 millions de dollars sous forme de wETH, constituant ainsi l'une des plus grosses attaques jamais observées dans le monde de la finance décentralisée.
L'année 2022 commence donc assez péniblement pour les bridges cross-chain, qui vont probablement devoir redoubler d'efforts pour (re)gagner la confiance des utilisateurs.
? Pour ne rien manquer de l'actualité de la finance décentralisée
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌