120 millions de dollars en crypto pour un braquage sans violence de la plateforme décentralisée BadgerDAO

Vincent Touveneau
Cryptomonnaies
03 décembre 2021 à 17h30
12
Hacker argent
© Yuliya Volkovska / Alamy

Énorme coup dur pour BadgerDAO, une plateforme décentralisée qui se vantait pourtant d’être « l’une des plateformes les plus sécurisées de la DeFI ». Alors qu’un hacker a réussi à entrer un script malveillant sur l’interface du site, ses utilisateurs déplorent plus de 120 millions de dollars de perte, siphonnés mercredi dernier. Les responsables de la plateforme accusent un hold-up sur le Web3, avec des moyens du Web 2.0.

L'un des utilisateurs a par ailleurs perdu près de 900 bitcoins (50 millions de dollars) en une seule transaction.

Piratage énorme, une technique d’intrusion originale

BadgerDAO est une plateforme décentralisée qui permet de stocker des bitcoins sur la blockchain Ethereum pour percevoir des intérêts. Aujourd’hui, elle a encore du mal à se remettre du vol de plus de 2 100 BTC et 151 ETH, appartenant tous à des particuliers ou à des employés de Badger. C’est en faisant appel à PeckShield, une société d’audit en cybersécurité, que l’on a pu le voile sur la technique de piratage employée.

D’habitude, une attaque de ce genre s’effectue au niveau des smart contracts, les protocoles qui rendent possibles les transactions sur les blockchains. Ici, le pirate a boudé cette option pour s’infiltrer directement sur l’interface du site. En ajoutant une fenêtre MetaMask avec quelques lignes de codes, l’intrus a ouvert un script malveillant. 

Tous les utilisateurs ayant effectué une transaction sur le site à ce moment-là ont vu leurs fonds se déplacer vers l’adresse du pirate. Le script malveillant était lui-même très dur à détecter, car le pirate l’a fait fonctionner plusieurs fois par intermittence.

Le Web3 se repose trop sur des technologies du « vieux Web »

Les attaques « front end » de ce genre sont de plus en plus courantes, et les sites comme SushiSwap ou BadgerDAO en sont les plus récentes victimes. Pourtant, un utilisateur de BadgerDAO avait rapporté une anomalie, mais la plateforme n’avait pas donné suite à sa déclaration.

Selon des experts en cyberattaques, il y a plusieurs leçons à tirer de cette débâcle. Le Web3 fonctionne encore selon des protocoles du « vieux » Web, ce qui permet des intrusions de ce genre. Les systèmes d’authentification à deux étapes ne sont pas forcément inviolables et peuvent devenir obsolètes, car les pirates savent les contourner. 

Pour ceux qui ont perdu 50 millions en quelques secondes, c’est une leçon qui passe mal. Pour le nombre d'adeptes grandissant de la finance décentralisée, c’est aussi une invitation à ne pas mettre tous ses œufs dans le même panier.

Source : The Verge

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
12
12
norwy
Ouf, un braquage sans violence, c’est le principal !<br /> Le juge en tiendra forcément compte si on chope les chenapans
SPH
La plateforme qui se ventait être la plus sûre du monde va t’elle rembourser ses clients ?<br />
Cynian90
Une plateforme qui autorise un transfert de 50 000 000$ vers une addresse qui n’est pas de confiance sans double/triple authentification est tout sauf sécurisée, c’est de la bouse, le niveau zéro de la sécurité, des rien de rien, c’est comme laisser un enfant de deux ans gambader sur un balcon sans balustrades.
Adrift
Les crypto monaie sont absolument stupide par essence…<br /> Tout comme une alarme de voiture qui reduit la batterie de la voiture a plat; le probleme c’est pas la mauvaise alarme, c’est que des gens volent…<br /> Il faut que les banques classiques se reforment et que les etats soit sanctionne lorsque ils manipulent leurs devise abusement…<br /> C’est pour ca que les acteurs comme (transfer)wise sont bien plus realiste et pratique…
norwy
Pour 50 millions, un petit coup de fil au proprio du compte et une vérification physique avec un notaire et tout le tintouin, c’est trop demandé ?<br /> Nooooon, pas besoin puisque la sécurité numérique est béton !<br /> Au fait, pourquoi le site n’est pas inquiété ?
pecore
Une plateforme qui permettait d’avoir des Bitcoins mais de profiter des avantages de la blockchain Ethereum, voila qui a du faire grincer des dents chez les maximalistes des deux blockchains. Beaucoup d’entre eux doivent sabrer le champagne en ce moment.
carinae
Au rédacteur…«&nbsp;que l’on a pu le voile&nbsp;» je crois qu’il manque un mot
Peggy10Huitres
«&nbsp;L’un des utilisateurs a par ailleurs perdu près de 900 bitcoins (50 millions de dollars) en une seule transaction.&nbsp;»<br /> A joué, A perdu …<br /> Crypto ou le nouveau Casino …
Belgarath
Que disait Spaggiari, " sans haine, ni violence".
maxxi
On va commencer à comprendre la connerie abyssale des cryptomonnaie.
DarkCenobyte
Il ne s’agit pas réellement d’une plateforme au sens où ce n’est qu’une interface de communication entre le portefeuille des utilisateurs et le smartcontracts publique sur la blockchain.<br /> Il ne peut pas y avoir plus de contrôle dans le sens où le portefeuille est censé être l’élément le plus sécurisé d’un utilisateur, et l’ensemble des sites DeFi compte sur ça pour faire transiter des sommes de ce genre. (en soit, si un pirate dispose de la clé privé du portefeuille, autant partir du principe qu’il a tout les droits sur tout les investissements et biens de l’utilisateur…), et que par principe de décentralisation, tout a lieu entre l’utilisateur et la blockchain, le site internet n’est rien de plus qu’un affichage normalement dans ce contexte sinon il serait un facteur de centralisation.<br /> De ce que je lis, on dirait une faille XSS (client-side) dans l’interface, si c’est bien cela, il est facile de trigger Metamask en se faisant passer pour le site internet… Pour peu que cela pointe sur un smartcontracts différent de l’habituel et qui dit «&nbsp;donne moi les droits sur le portefeuille de l’utilisateur&nbsp;», il est probable que les gens ne fasse pas attention…<br /> La plus grosse erreur est que ce genre de faille existe sur l’interface intermédiaire entre le portefeuille de l’utilisateur et le smartcontracts.<br /> Comme MetaMask repose sur le JavaScript, il est difficile de faire plus que de sécuriser des interfaces pour empêcher ce genre de cas (une faille XSS, ce sont des choses connu depuis des décennies… Et c’est pourtant simple a corriger…)
edou
Avec 900 btc sur un wallet Metamask sans utiliser un hardware wallet comme Ledger… c’est comme garder des sacs remplis de billets de banques sur le siège arrière de sa voiture garée dans la rue…
Voir tous les messages sur le forum

Lectures liées

Un antivirus efficace et pas cher ? Profitez d'un abonnement Bitdefender à -60%
Norton fait les soldes ! En quoi ses antivirus à -60% est une aubaine ?
Crypto.com piraté, des centaines de comptes touchés et plusieurs millions de dollars dans la nature
La Croix-Rouge se fait voler les données de plus de 500 000 personnes hautement vulnérables
Rends l'argent ! Cacophonie et négociations après un vol de 3 millions de dollars en crypto
Norton casse les prix de ses antivirus ! Pourquoi se décider à les installer ?
Pegasus utilisé par la police israélienne pour surveiller les citoyens ?
Cybercriminalité : Europol coupe le câble de VPNLab.net
Snapchat Quick Add : rendez facilement l'ajout d'amis plus sûr pour vos ados
Une promotion de 60% sur les abonnements antivirus Bitdefender !
Haut de page