120 millions de dollars en crypto pour un braquage sans violence de la plateforme décentralisée BadgerDAO

Publié le 03 décembre 2021 à 17h30

Énorme coup dur pour BadgerDAO, une plateforme décentralisée qui se vantait pourtant d’être « l’une des plateformes les plus sécurisées de la DeFI ». Alors qu’un hacker a réussi à entrer un script malveillant sur l’interface du site, ses utilisateurs déplorent plus de 120 millions de dollars de perte, siphonnés mercredi dernier. Les responsables de la plateforme accusent un hold-up sur le Web3, avec des moyens du Web 2.0.

L'un des utilisateurs a par ailleurs perdu près de 900 bitcoins (50 millions de dollars) en une seule transaction.

Piratage énorme, une technique d’intrusion originale

BadgerDAO est une plateforme décentralisée qui permet de stocker des bitcoins sur la blockchain Ethereum pour percevoir des intérêts. Aujourd’hui, elle a encore du mal à se remettre du vol de plus de 2 100 BTC et 151 ETH, appartenant tous à des particuliers ou à des employés de Badger. C’est en faisant appel à PeckShield, une société d’audit en cybersécurité, que l’on a pu le voile sur la technique de piratage employée.

D’habitude, une attaque de ce genre s’effectue au niveau des smart contracts, les protocoles qui rendent possibles les transactions sur les blockchains. Ici, le pirate a boudé cette option pour s’infiltrer directement sur l’interface du site. En ajoutant une fenêtre MetaMask avec quelques lignes de codes, l’intrus a ouvert un script malveillant.

Tous les utilisateurs ayant effectué une transaction sur le site à ce moment-là ont vu leurs fonds se déplacer vers l’adresse du pirate. Le script malveillant était lui-même très dur à détecter, car le pirate l’a fait fonctionner plusieurs fois par intermittence.

Le Web3 se repose trop sur des technologies du « vieux Web »

Les attaques « front end » de ce genre sont de plus en plus courantes, et les sites comme SushiSwap ou BadgerDAO en sont les plus récentes victimes. Pourtant, un utilisateur de BadgerDAO avait rapporté une anomalie, mais la plateforme n’avait pas donné suite à sa déclaration.

Selon des experts en cyberattaques, il y a plusieurs leçons à tirer de cette débâcle. Le Web3 fonctionne encore selon des protocoles du « vieux » Web, ce qui permet des intrusions de ce genre. Les systèmes d’authentification à deux étapes ne sont pas forcément inviolables et peuvent devenir obsolètes, car les pirates savent les contourner.

Pour ceux qui ont perdu 50 millions en quelques secondes, c’est une leçon qui passe mal. Pour le nombre d'adeptes grandissant de la finance décentralisée, c’est aussi une invitation à ne pas mettre tous ses œufs dans le même panier.

Source : The Verge

Par Vincent Touveneau

Cryptomonnaies

Piratage / Cybercriminalité

Crypto-monnaie

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

norwy

Ouf, un braquage sans violence, c’est le principal !

Le juge en tiendra forcément compte si on chope les chenapans

SPH

La plateforme qui se ventait être la plus sûre du monde va t’elle rembourser ses clients ?

Cynian90

Une plateforme qui autorise un transfert de 50 000 000$ vers une addresse qui n’est pas de confiance sans double/triple authentification est tout sauf sécurisée, c’est de la bouse, le niveau zéro de la sécurité, des rien de rien, c’est comme laisser un enfant de deux ans gambader sur un balcon sans balustrades.

Adrift

Les crypto monaie sont absolument stupide par essence…

Tout comme une alarme de voiture qui reduit la batterie de la voiture a plat; le probleme c’est pas la mauvaise alarme, c’est que des gens volent…

Il faut que les banques classiques se reforment et que les etats soit sanctionne lorsque ils manipulent leurs devise abusement…

C’est pour ca que les acteurs comme (transfer)wise sont bien plus realiste et pratique…

norwy

Pour 50 millions, un petit coup de fil au proprio du compte et une vérification physique avec un notaire et tout le tintouin, c’est trop demandé ?

Nooooon, pas besoin puisque la sécurité numérique est béton !

Au fait, pourquoi le site n’est pas inquiété ?

pecore

Une plateforme qui permettait d’avoir des Bitcoins mais de profiter des avantages de la blockchain Ethereum, voila qui a du faire grincer des dents chez les maximalistes des deux blockchains. Beaucoup d’entre eux doivent sabrer le champagne en ce moment.

carinae

Au rédacteur…« que l’on a pu le voile » je crois qu’il manque un mot

Belgarath

Que disait Spaggiari, " sans haine, ni violence".

maxxi

On va commencer à comprendre la connerie abyssale des cryptomonnaie.

DarkCenobyte

Il ne s’agit pas réellement d’une plateforme au sens où ce n’est qu’une interface de communication entre le portefeuille des utilisateurs et le smartcontracts publique sur la blockchain.

Il ne peut pas y avoir plus de contrôle dans le sens où le portefeuille est censé être l’élément le plus sécurisé d’un utilisateur, et l’ensemble des sites DeFi compte sur ça pour faire transiter des sommes de ce genre. (en soit, si un pirate dispose de la clé privé du portefeuille, autant partir du principe qu’il a tout les droits sur tout les investissements et biens de l’utilisateur…), et que par principe de décentralisation, tout a lieu entre l’utilisateur et la blockchain, le site internet n’est rien de plus qu’un affichage normalement dans ce contexte sinon il serait un facteur de centralisation.

De ce que je lis, on dirait une faille XSS (client-side) dans l’interface, si c’est bien cela, il est facile de trigger Metamask en se faisant passer pour le site internet… Pour peu que cela pointe sur un smartcontracts différent de l’habituel et qui dit « donne moi les droits sur le portefeuille de l’utilisateur », il est probable que les gens ne fasse pas attention…

La plus grosse erreur est que ce genre de faille existe sur l’interface intermédiaire entre le portefeuille de l’utilisateur et le smartcontracts.

Comme MetaMask repose sur le JavaScript, il est difficile de faire plus que de sécuriser des interfaces pour empêcher ce genre de cas (une faille XSS, ce sont des choses connu depuis des décennies… Et c’est pourtant simple a corriger…)