MISO de SushiSwap : un hacker « white hat » évite un piratage de 350 millions de dollars

La plateforme de vente de jetons MISO de SushiSwap présentait une faille qui aurait pu être utilisée pour subtiliser 350 millions de dollars d'Ether (ETH). Heureusement, un chercheur de la société Paradigm, spécialisé sur la blockchain, l'a découvert à temps et a pu travailler avec les équipes de SushiSwap pour neutraliser la menace, avant qu'elle soit exploitée par un hacker malveillant.

MISO de SushiSwap : un hacker « white hat » évite un piratage de 350 millions de dollars

Un hacker sauve la DeFi d'une nouvelle attaque

Une semaine après que le protocole Poly Network ait subi une attaque de 600 millions de dollars (la majorité des actifs ont depuis été restitués), le secteur de la finance décentralisée (DeFi) aurait pu être secoué par un autre énorme piratage.

Cette fois-ci, la cible était MISO, une plateforme dédiée au lancement de nouveaux tokens et basée sur l'exchange décentralisé SushiSwap. Fort heureusement, cette catastrophe a pu être évitée grâce à la collaboration d'un hacker au « white hat » (bienveillant).

L'affaire a été révélée sur Twitter par un des sauveurs lui-même, un certain Samczsun, chercheur spécialisé en cryptomonnaies pour la société Paradigm.

Les spécialistes en cybersécurité, Samczsun et ses collègues Georgios Konstantopoulos et Daniel Robinson ont contacté l'équipe de SushiSwap pour les alerter sur « une vulnérabilité ». Celle-ci portait sur le smart contract supportant la vente aux enchères de tokens BitDAO sur la plateforme MISO.

💡 Sur le même sujet – ChainSwap victime d’une seconde attaque en dix jours – Les cours des tokens dégringolent

Rejoignez des experts et une communaut� Premium

PRO

Investissez dans vos connaissances crypto pour le prochain bullrun

toaster icon

Qu'aurait-il bien pu se passer ?

La vente de token BitDAO se déroulait sous la forme d'une « Dutche Auction », une enchère hollandaise. En bref, les investisseurs placent des offres correspondant au montant maximal qu'ils sont prêts à payer. Lorsque toutes les offres sont collectées, la plus élevée est déclarée gagnante. Logiquement, les offres non retenues sont retournées à leurs propriétaires.

Jusqu'ici, rien d'anormal. Toutefois, les chercheurs de chez Paradigm ont identifié la « vulnérabilité » qui aurait pu couter très cher.

En effet, cette faille donnait la possibilité à un pirate de faire des appels multiples à la fonction commitEth (c'est-à-dire d'enchérir plusieurs fois et gratuitement) tout en réutilisant un seul msg.value pour chaque engagement (c'est-à-dire qu'en apparence, on ne constatait qu'une seule réelle enchère).

Lors du remboursement, le pirate aurait donc récupéré le montant de sa mise, multiplié par le nombre de fois où il avait renouvelé l'opération décrite ci-dessus. L'ensemble des fonds enchéris par les participants aurait ainsi été drainé.

« Les utilisateurs pouvaient surenchérir et obtenir un remboursement de la différence entre l'offre actuelle et le montant qu'ils ont soumis, mais le remboursement pouvait être répété pour vider le contrat d'enchères, » a expliqué Duncan Townsend, directeur technique chez Immunefi, également recruté pour aider à résoudre le problème.

Finalement, grâce aux travaux de ces hackers bienveillants, l'équipe de BitDAO a pu manuellement mettre fin à l'enchère avant que la faille soit exploitée. Selon leurs dernières informations, aucune perte n'est à déplorer.

La vente a finalement permis à BitDAO de lever 350 millions de dollars. Une somme importante qui aurait certainement pu avoir été entièrement drainée sans l'intervention de Paradigm et ses experts.

? Pour aller plus loin – ChainSwap victime d’une seconde attaque en dix jours – Les cours des tokens dégringolent

La Newsletter crypto n°1 🍞

Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌

Subscribe
Me notifier des
guest
0 Commentaires
Inline Feedbacks
View all comments
Voir plus
Tout voir

Cryptoast

Le site qui explique tout de A à Z sur le Bitcoin, la blockchain et les crypto-monnaies. Des actualités et des articles explicatifs pour découvrir et progresser dans ces secteurs !


Les articles les plus lus

HBO annonce que l'identité de Satoshi Nakamoto sera révélée dans son prochain documentaire dédié au créateur de Bitcoin

HBO annonce que l'identité de Satoshi Nakamoto sera révélée dans son prochain documentaire dédié au créateur de Bitcoin

Telegram peut dévoiler les adresses IP et numéros de téléphone de ses utilisateurs depuis 2018, selon son PDG Pavel Durov

Telegram peut dévoiler les adresses IP et numéros de téléphone de ses utilisateurs depuis 2018, selon son PDG Pavel Durov

MiCA : L'exchange de cryptomonnaies Coinbase se prépare à délister certains stablecoins

MiCA : L'exchange de cryptomonnaies Coinbase se prépare à délister certains stablecoins

Panne majeure chez Bank of America après la vente de 6,2 milliards de dollars d'actions par Warren Buffett

Panne majeure chez Bank of America après la vente de 6,2 milliards de dollars d'actions par Warren Buffett