Le protocole BonqDAO victime d'un hack à 120 millions de dollars
Après une année 2022 remplie de hacks, la finance décentralisée (DeFi) semblait plutôt épargnée en ce mois de janvier. Du moins jusqu'à aujourd'hui : le protocole BonqDAO sur Polygon (MATIC) a subi une attaque à l'oracle ayant entraîné la perte de 120 millions de dollars.
Un hack de type « oracle »
Dans une publication sur Twitter, le protocole BonqDAO a annoncé avoir été victime d'une attaque de type « oracle » ayant conduit à son effondrement. À l'heure de l'écriture, les dégâts sont estimés à près de 120 millions de dollars.
https://twitter.com/BonqDAO/status/1620908233761378304
Posons le contexte pour mieux comprendre cette attaque. BonqDAO est un protocole de lending assez particulier. En effet, il permet à un utilisateur de verrouiller des actifs dans des troves - des smarts contracts auxquels lui seul peut accéder - et de récupérer en retour du stablecoin BEUR, adossé au dollar.
Concrètement, le hacker a réussi à modifier et augmenter énormément le prix du token ALBT de l'oracle AllianceBlock utilisé par le protocole BonqDAO. Ainsi, il a pu utiliser le protocole pour mint du BEUR, qu'il a finalement échangé contre d'autres tokens via Uniswap. Cela a entraîné la chute du ALBT à zéro, liquidant toutes les positions des troves.
The @BonqDAO is exploited and its price oracle is manipulated to increase the #WALBT price. Here is the example hack tx: https://t.co/YPxXMr2nkf pic.twitter.com/XrzExHY6m1
— PeckShield Inc. (@peckshield) February 1, 2023
Ce procédé n'est évidemment pas sans rappeler l'attaque de Mango Markets en octobre dernier, ayant entraîné la perte de 114 millions de dollars.
Ce qui étonne dans cette affaire, c'est la simplicité enfantine avec laquelle le hacker a pu trafiquer le prix du token ALBT dans l'oracle. Comme vous pouvez le constater sur l'historique de transaction, il a simplement modifié une ligne de code et le tour était joué.
? Pour aller plus loin – Qu'est-ce que la DeFi ? Tout savoir sur la finance décentralisée
Cryptoast Academy : 75% de réduction avant le Black Friday pour fêter le bullrun120 millions de dollars volés
La société de sécurité spécialisée dans la blockchain, Peckshield, a estimé les pertes subies par l'attaque à environ 120 millions de dollars, dont 98 millions en BEUR et 12 millions en ALBT. L'individu aurait réussi à transférer des fonds de Polygon vers Ethereum, transformés ensuite en 1,2 millions d'Ether (ETH) et 500 000 DAI.
Pour l'heure, BonqDAO a déclaré avoir mis le protocole en pause et travailler à une solution de relance et de récupération des fonds dérobés.
L'oracle AllianceBlock, qui fait le pont entre la finance décentralisée et la finance traditionnelle, a confirmé l'incident le 1er février. L'équipe a indiqué que les hackers ont réussi à accéder à environ 110 millions de jetons ALBT. Toutefois, seuls les troves en ALBT sont concernés et les autres sont donc intactes.
« Les autres troves ne sont pas affectés. Le protocole Bonq a été mis en pause. Nous travaillons sur une solution qui permettra aux utilisateurs de retirer toutes les garanties restantes sans rembourser les BEUR dans les troves. Elle sera publiée demain matin. »
Pour le moment, toutes les activités d'AllianceBlock sont également suspendues. La plateforme a toutefois déclaré qu'elle prendrait des mesures pour rembourser les personnes concernées, notamment en réalisant un snapshot avant l'attaque et en procédant à un airdrop de tokens.
« Les équipes d'AllianceBlock et de Bonq, y compris tous les partenaires concernés, sont en train de supprimer les liquidités et d'interrompre toutes les transactions. »
Actuellement, l'oracle s'affaire à retirer toutes les liquidités de Bonq, précisant toutefois qu'aucun des smart-contracts d'AllianceBlock n'est concerné ou endommagé.
? Sécurisez vos cryptomonnaies grâce aux portefeuilles physiques de chez Ledger
Ledger : la meilleure solution pour protéger vos cryptomonnaies 🔒Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.
Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.
Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.
Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.