MISO de SushiSwap : un hacker « white hat » évite un piratage de 350 millions de dollars

La plateforme de vente de jetons MISO de SushiSwap présentait une faille qui aurait pu être utilisée pour subtiliser 350 millions de dollars d'Ether (ETH). Heureusement, un chercheur de la société Paradigm, spécialisé sur la blockchain, l'a découvert à temps et a pu travailler avec les équipes de SushiSwap pour neutraliser la menace, avant qu'elle soit exploitée par un hacker malveillant.

MISO de SushiSwap : un hacker « white hat » évite un piratage de 350 millions de dollars

Un hacker sauve la DeFi d'une nouvelle attaque

Une semaine après que le protocole Poly Network ait subi une attaque de 600 millions de dollars (la majorité des actifs ont depuis été restitués), le secteur de la finance décentralisée (DeFi) aurait pu être secoué par un autre énorme piratage.

Cette fois-ci, la cible était MISO, une plateforme dédiée au lancement de nouveaux tokens et basée sur l'exchange décentralisé SushiSwap. Fort heureusement, cette catastrophe a pu être évitée grâce à la collaboration d'un hacker au « white hat » (bienveillant).

L'affaire a été révélée sur Twitter par un des sauveurs lui-même, un certain Samczsun, chercheur spécialisé en cryptomonnaies pour la société Paradigm.

Les spécialistes en cybersécurité, Samczsun et ses collègues Georgios Konstantopoulos et Daniel Robinson ont contacté l'équipe de SushiSwap pour les alerter sur « une vulnérabilité ». Celle-ci portait sur le smart contract supportant la vente aux enchères de tokens BitDAO sur la plateforme MISO.

👉 Sur le même sujet – ChainSwap victime d’une seconde attaque en dix jours – Les cours des tokens dégringolent

cryptoast logo

Nous suivre sur WhatsApp

Recevez chaque jour les actualités crypto 🔥
Mais pas que 👀

toaster icon

Qu'aurait-il bien pu se passer ?

La vente de token BitDAO se déroulait sous la forme d'une « Dutche Auction », une enchère hollandaise. En bref, les investisseurs placent des offres correspondant au montant maximal qu'ils sont prêts à payer. Lorsque toutes les offres sont collectées, la plus élevée est déclarée gagnante. Logiquement, les offres non retenues sont retournées à leurs propriétaires.

Jusqu'ici, rien d'anormal. Toutefois, les chercheurs de chez Paradigm ont identifié la « vulnérabilité » qui aurait pu couter très cher.

En effet, cette faille donnait la possibilité à un pirate de faire des appels multiples à la fonction commitEth (c'est-à-dire d'enchérir plusieurs fois et gratuitement) tout en réutilisant un seul msg.value pour chaque engagement (c'est-à-dire qu'en apparence, on ne constatait qu'une seule réelle enchère).

Lors du remboursement, le pirate aurait donc récupéré le montant de sa mise, multiplié par le nombre de fois où il avait renouvelé l'opération décrite ci-dessus. L'ensemble des fonds enchéris par les participants aurait ainsi été drainé.

« Les utilisateurs pouvaient surenchérir et obtenir un remboursement de la différence entre l'offre actuelle et le montant qu'ils ont soumis, mais le remboursement pouvait être répété pour vider le contrat d'enchères, » a expliqué Duncan Townsend, directeur technique chez Immunefi, également recruté pour aider à résoudre le problème.

Finalement, grâce aux travaux de ces hackers bienveillants, l'équipe de BitDAO a pu manuellement mettre fin à l'enchère avant que la faille soit exploitée. Selon leurs dernières informations, aucune perte n'est à déplorer.

La vente a finalement permis à BitDAO de lever 350 millions de dollars. Une somme importante qui aurait certainement pu avoir été entièrement drainée sans l'intervention de Paradigm et ses experts.

👉 Pour aller plus loin – ChainSwap victime d’une seconde attaque en dix jours – Les cours des tokens dégringolent

Newsletter 🍞

Recevez un récapitulatif de l'actualité crypto chaque lundi par mail 👌

guest
0 Commentaires
Inline Feedbacks
View all comments
Voir plus
Tout voir

Cryptoast

Le site qui explique tout de A à Z sur le Bitcoin, la blockchain et les crypto-monnaies. Des actualités et des articles explicatifs pour découvrir et progresser dans ces secteurs !


Achetez sur Binance

-10% de réduction sur les frais, avec le
code SVULQ98B 🔥 Et aussi -10% sur
Binance Futures avec le code cryptoast

Les articles les plus lus

Le déploiement de l'euro numérique enfin daté – Quels seront ses usages ?

Le déploiement de l'euro numérique enfin daté – Quels seront ses usages ?

Do Kwon transfère plus de 3 300 BTC vers 2 wallets différents - les autorités coréennes veulent geler les fonds

Do Kwon transfère plus de 3 300 BTC vers 2 wallets différents - les autorités coréennes veulent geler les fonds

Binance décide finalement de participer au burn du LUNC, le token grimpe de 60 % sur 24 h

Binance décide finalement de participer au burn du LUNC, le token grimpe de 60 % sur 24 h

L’EUR et le GBP en chute de plus de 20 % face à l’USD : les stablecoins dollar sont-ils la solution ?

L’EUR et le GBP en chute de plus de 20 % face à l’USD : les stablecoins dollar sont-ils la solution ?

Achetez sur Binance

-10% de réduction sur les frais, avec le
code SVULQ98B 🔥 Et aussi -10% sur
Binance Futures avec le code cryptoast