120 millions de dollars en crypto pour un braquage sans violence de la plateforme décentralisée BadgerDAO

Vincent Touveneau
Cryptomonnaies
03 décembre 2021 à 17h30
12
© Yuliya Volkovska / Alamy
© Yuliya Volkovska / Alamy

Énorme coup dur pour BadgerDAO, une plateforme décentralisée qui se vantait pourtant d’être « l’une des plateformes les plus sécurisées de la DeFI ». Alors qu’un hacker a réussi à entrer un script malveillant sur l’interface du site, ses utilisateurs déplorent plus de 120 millions de dollars de perte, siphonnés mercredi dernier. Les responsables de la plateforme accusent un hold-up sur le Web3, avec des moyens du Web 2.0.

L'un des utilisateurs a par ailleurs perdu près de 900 bitcoins (50 millions de dollars) en une seule transaction.

Piratage énorme, une technique d’intrusion originale

BadgerDAO est une plateforme décentralisée qui permet de stocker des bitcoins sur la blockchain Ethereum pour percevoir des intérêts. Aujourd’hui, elle a encore du mal à se remettre du vol de plus de 2 100 BTC et 151 ETH, appartenant tous à des particuliers ou à des employés de Badger. C’est en faisant appel à PeckShield, une société d’audit en cybersécurité, que l’on a pu le voile sur la technique de piratage employée.

D’habitude, une attaque de ce genre s’effectue au niveau des smart contracts, les protocoles qui rendent possibles les transactions sur les blockchains. Ici, le pirate a boudé cette option pour s’infiltrer directement sur l’interface du site. En ajoutant une fenêtre MetaMask avec quelques lignes de codes, l’intrus a ouvert un script malveillant. 

Tous les utilisateurs ayant effectué une transaction sur le site à ce moment-là ont vu leurs fonds se déplacer vers l’adresse du pirate. Le script malveillant était lui-même très dur à détecter, car le pirate l’a fait fonctionner plusieurs fois par intermittence.

Le Web3 se repose trop sur des technologies du « vieux Web »

Les attaques « front end » de ce genre sont de plus en plus courantes, et les sites comme SushiSwap ou BadgerDAO en sont les plus récentes victimes. Pourtant, un utilisateur de BadgerDAO avait rapporté une anomalie, mais la plateforme n’avait pas donné suite à sa déclaration.

Selon des experts en cyberattaques, il y a plusieurs leçons à tirer de cette débâcle. Le Web3 fonctionne encore selon des protocoles du « vieux » Web, ce qui permet des intrusions de ce genre. Les systèmes d’authentification à deux étapes ne sont pas forcément inviolables et peuvent devenir obsolètes, car les pirates savent les contourner. 

Pour ceux qui ont perdu 50 millions en quelques secondes, c’est une leçon qui passe mal. Pour le nombre d'adeptes grandissant de la finance décentralisée, c’est aussi une invitation à ne pas mettre tous ses œufs dans le même panier.

Source : The Verge

Vincent Touveneau

Vincent Touveneau

Cryptomonnaies

Cryptomonnaies

Globe-trotter qui ne quitte pas son bloc-notes. La musique dans la peau, avec un penchant pour l'actu crypto.

Lire d'autres articles

Globe-trotter qui ne quitte pas son bloc-notes. La musique dans la peau, avec un penchant pour l'actu crypto.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (12)

norwy
Ouf, un braquage sans violence, c’est le principal !<br /> Le juge en tiendra forcément compte si on chope les chenapans
SPH
La plateforme qui se ventait être la plus sûre du monde va t’elle rembourser ses clients ?<br />
Cynian90
Une plateforme qui autorise un transfert de 50 000 000$ vers une addresse qui n’est pas de confiance sans double/triple authentification est tout sauf sécurisée, c’est de la bouse, le niveau zéro de la sécurité, des rien de rien, c’est comme laisser un enfant de deux ans gambader sur un balcon sans balustrades.
Adrift
Les crypto monaie sont absolument stupide par essence…<br /> Tout comme une alarme de voiture qui reduit la batterie de la voiture a plat; le probleme c’est pas la mauvaise alarme, c’est que des gens volent…<br /> Il faut que les banques classiques se reforment et que les etats soit sanctionne lorsque ils manipulent leurs devise abusement…<br /> C’est pour ca que les acteurs comme (transfer)wise sont bien plus realiste et pratique…
norwy
Pour 50 millions, un petit coup de fil au proprio du compte et une vérification physique avec un notaire et tout le tintouin, c’est trop demandé ?<br /> Nooooon, pas besoin puisque la sécurité numérique est béton !<br /> Au fait, pourquoi le site n’est pas inquiété ?
pecore
Une plateforme qui permettait d’avoir des Bitcoins mais de profiter des avantages de la blockchain Ethereum, voila qui a du faire grincer des dents chez les maximalistes des deux blockchains. Beaucoup d’entre eux doivent sabrer le champagne en ce moment.
carinae
Au rédacteur…«&nbsp;que l’on a pu le voile&nbsp;» je crois qu’il manque un mot
Belgarath
Que disait Spaggiari, " sans haine, ni violence".
maxxi
On va commencer à comprendre la connerie abyssale des cryptomonnaie.
DarkCenobyte
Il ne s’agit pas réellement d’une plateforme au sens où ce n’est qu’une interface de communication entre le portefeuille des utilisateurs et le smartcontracts publique sur la blockchain.<br /> Il ne peut pas y avoir plus de contrôle dans le sens où le portefeuille est censé être l’élément le plus sécurisé d’un utilisateur, et l’ensemble des sites DeFi compte sur ça pour faire transiter des sommes de ce genre. (en soit, si un pirate dispose de la clé privé du portefeuille, autant partir du principe qu’il a tout les droits sur tout les investissements et biens de l’utilisateur…), et que par principe de décentralisation, tout a lieu entre l’utilisateur et la blockchain, le site internet n’est rien de plus qu’un affichage normalement dans ce contexte sinon il serait un facteur de centralisation.<br /> De ce que je lis, on dirait une faille XSS (client-side) dans l’interface, si c’est bien cela, il est facile de trigger Metamask en se faisant passer pour le site internet… Pour peu que cela pointe sur un smartcontracts différent de l’habituel et qui dit «&nbsp;donne moi les droits sur le portefeuille de l’utilisateur&nbsp;», il est probable que les gens ne fasse pas attention…<br /> La plus grosse erreur est que ce genre de faille existe sur l’interface intermédiaire entre le portefeuille de l’utilisateur et le smartcontracts.<br /> Comme MetaMask repose sur le JavaScript, il est difficile de faire plus que de sécuriser des interfaces pour empêcher ce genre de cas (une faille XSS, ce sont des choses connu depuis des décennies… Et c’est pourtant simple a corriger…)
edou
Avec 900 btc sur un wallet Metamask sans utiliser un hardware wallet comme Ledger… c’est comme garder des sacs remplis de billets de banques sur le siège arrière de sa voiture garée dans la rue…
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

120 millions de dollars en crypto pour un braquage sans violence de la plateforme décentralisée BadgerDAO 120 millions de dollars en crypto pour un braquage sans violence de la plateforme décentralisée BadgerDAO
Crypto : la plateforme BitMart piratée, 150 millions d'euros évaporés Crypto : la plateforme BitMart piratée, 150 millions d'euros évaporés
Selon une agence d'audit, les problèmes de piratage de crypto-monnaie sont liés à la centralisation Selon une agence d'audit, les problèmes de piratage de crypto-monnaie sont liés à la centralisation
BadgerDAO, victime du braquage de crypto à 119 millions, supplie son voleur de rendre l'argent BadgerDAO, victime du braquage de crypto à 119 millions, supplie son voleur de rendre l'argent
Et un de plus ! Un nouveau site de crypto piraté, 135 millions de dollars envolés Et un de plus ! Un nouveau site de crypto piraté, 135 millions de dollars envolés