Un pirate aguerri est parvenu à voler 182 millions de dollars en cryptomonnaies sur la blockchain Ethereum. L'escroc s'est attaqué à un service de la finance décentralisée appelé Beanstalk en exploitant une faille de sécurité dans le protocole. Les développeurs ont offert une prime au pirate dans l'espoir de le convaincre de rendre l'argent. 

Ce dimanche 17 avril 2022, Beanstalk, un important protocole de la finance décentralisée qui s'appuie sur la blockchain Ethereum, a été victime d'un piratage. L'attaquant a exploité une faille de sécurité au sein du protocole pour s'emparer des fonds des utilisateurs.

Il est visiblement parvenu à voler 182 millions de dollars en cryptomonnaies Ether. C'est le 10e piratage le plus important du secteur des actifs numériques, derrière le hack de Ronin (625 millions de dollars) et le hack de Poly Network (600 millions de dollars).

Comment un pirate est parvenu à voler 182 millions de dollars en cryptomonnaies ?

Le protocole Beanstalk s'appuie sur un stablecoin, une cryptomonnaie dont le cours est stable, appelé Bean. Ce service de la DeFi propose de gagner des récompenses en participant au financement d'un pool destiné à équilibrer le cours de la devise Bean. Concrètement, les fonds déposés par les investisseurs permettent de faire fonctionner le stablecoin Bean. En échange, certains gagnants obtiennent des cryptomonnaies. Ce type d'opération, similaire à une loterie, est parfois très lucratif.

Pour s'emparer des avoirs détenus par Beanstalk, le pirate a acquis en masse des jetons de gouvernance. Comme la plupart des services DeFi, le protocole permet aux détenteurs de ces tokens de voter collectivement sur les modifications apportées au code.

Le pirate s'est emparé de 67% des jetons grâce à un service de la finance décentralisée qui permet aux utilisateurs d'emprunter de grandes quantités de cryptomonnaies. L'attaquant est passé par le protocole Aave, spécialisé dans les prêts de devises numériques. Dans ce cas-ci, le criminel a emprunté en l'espace de quelques instants près de 1 milliard de dollars de cryptodevises. Ces monnaies ont été instantanément converties en tokens de gouvernance, coupant l'herbe sous le pied des développeurs. Malheureusement, Beanstalk ne disposait pas “de mesure de résistance aux prêts  instantanés”, notent ceux-ci.

En dépassant le seuil de 67% des tokens de gouvernance, le hacker est devenu libre de voter des modifications dans le code et de déployer des smart-contracts, ou contrats intelligents. Rapidement, l'escroc a d'ailleurs lancé un contrat intelligence sur le réseau. Ce contrat contenait un morceau de code malveillant.

L'intégralité du processus n'a pas pris plus de 13 secondes, révèle CertiK, célèbre firme d'analyse de la blockchain. “Le contrat Beanstalk sur le réseau principal Ethereum a été exploité via un problème auparavant inconnu avec le processus de gouvernance de Beanstalk”, précise Beanstalk Farms, l'équipe développement derrière le protocole.

Une fois les fonds récupérés, l'attaquant a remboursé le prêt initial, générant un bénéfice de 80 millions de dollars. Notez que l'escroc en a profité pour envoyer un don de 250 000 dollars à un organisme de soutien pour l'Ukraine. Au total, 182 millions de dollars ont bien disparu du réseau Beanstalk. Les fonds sont en partie passés par des services permettant de blanchir les cryptomonnaies, comme Tornado Cash.

Sur le même thème : Un NFT malveillant permet de voler toutes vos cryptomonnaies

Une attaque aux multiples conséquences

D'après Ronghui Gu, PDG et cofondateur de CertiK, les attaques s'appuient sur les prêts instantanés se multiplient dans le monde des cryptomonnaies. “Ces attaques soulignent davantage l'importance d'un audit de sécurité, et aussi de l'éducation sur les problèmes de sécurité lors de l'écriture de code d'un service Web3”, explique Ronghui Gu.

Ce piratage d'ampleur a provoqué un effondrement brusque du cours du stablecoin Bean. Stabilisé à un dollar, le token est soudainement tombé à 19 cents. Les personnes ayant conservé leurs avoirs en Bean ont perdu des sommes considérables. Sur Twitter, de nombreux internautes affirment avoir conservé des millions de dollars en Bean.

Les développeurs du protocole se sont rapidement engagés à “relancer en toute sécurité un Beanstalk plus sûr” dans un avenir proche. Les créateurs du service DeFi peuvent notamment s'appuyer sur leur fidèle communauté. “La communauté Beanstalk a démontré un soutien incroyable au projet et a fourni de nombreuses idées réfléchies pour la suite”, ajoutent les développeurs.

Une prime offerte au pirate

Dans l'espoir de récupérer l'argent volé, les développeurs de Beanstalk ont décidé d'offrir une prime de 10% aux attaquants. Ce message, plutôt conciliant au vu des faits, a été publié sur la blockchain Ethereum. Il demande à l'escroc de rendre 90% des fonds en échange du montant de 10% de son butin.

Les développeurs de Beanstalk sont visiblement désespérés. Comme expliqué sur leur Discord, le projet n'est pas soutenu financièrement. De fait, l'argent disparu ne pourra pas être rendu aux investisseurs sans obtenir l'aide du pirate. “Beanstalk a été volé. Maintenant, il doit récupérer autant de cet argent que possible. Il n'a pas besoin de récupérer tout cet argent”, a expliqué Benjamin Weintraub, porte-parole du projet. Il est déjà arrivé que des projets DeFi victimes d'un hack récupèrent leur argent de cette manière. Il suffit d'espérer que le hacker ne soit pas uniquement motivé par l'appât du gain.

En dépit des innovations proposées par la finance décentralisée, on vous conseille de rester prudent lorsque vous déposez vos fonds sur des services DeFi. Il n'est pas rare qu'une brèche soit exploitée par un pirate dans le but de s'enrichir.