Un nouveau mois, un nouveau hack DeFi !
Le 2 décembre, un autre piratage de plusieurs millions de dollars vient de frapper le monde de la DeFi (finance décentralisée). Selon les rapports de plusieurs services de sécurité et d’analyse de la blockchain, la dernière victime en date est le protocole DeFi basé sur la chaîne BNB – Ankr.
Bien que la situation et les évènements restent flous, les rapports initiaux suggèrent qu’une vulnérabilité dans le code de Ankr ait permis à un pirate informatique d’exploiter une faille dans les smart contracts du protocole.
Ankr a rapidement confirmé l’attaque et a ajouté qu’il avait contacté d’autres exchanges décentralisées (DEX) pour les exhorter à bloquer les échanges. Les tokens seront réémis une fois l’évaluation de la situation terminée.
Qu’est-ce que Ankr ?
Ankr propose des solutions de Liquid Staking qui offrent aux utilisateurs un moyen de maximiser leurs rewards et de staker de manière plus flexible – sans aucune connaissance technique nécessaire. Le staking liquide offre aux stakers le meilleur des deux mondes ; ils peuvent gagner des récompenses de staking et des rewrads DeFi simultanément.
Les liquid tokens (jetons synthétiques) ont un ratio de 1 pour 1 (1:1) vis à vis de leurs actifs sous-jacents. Cela signifie que si vous stakez un actif pour un token de liquid staking, vous obtiendrez une quantité équivalente de liquid tokens. La plate-forme Ankr vous permet actuellement de staker ETH, AVAX, FTM et BNB, MATIC, DOT, KSM. Stakez par exemple 1 BNB et vous obtiendrez 1 aBNBc. Les utilisateurs peuvent en outre échanger ces jetons liquides sur les plates-formes DeFi compatibles.
10 milliards d’aBNB dérobés
Très tôt en début de journée, le 2 décembre, la société de sécurité Blockchain PeckShieldAlert a signalé le piratage, révélant que l’attaquant avait frappé (minted) environ 10 000 milliards d’aBNB, qu’il a ensuite rapidement abandonné (dumped), amenant le prix du token à zéro en quelques minutes seulement.
La société PeckShield a déclaré via Twitter : Notre analyse montre que le contrat de token $aBNBc a un bogue illimité.
Selon un tweet de suivi de PeckShieldAlert, le pirate a déplacé 900 BNB (253 000 $) vers le mélangeur crypto Tornado Cash. Le pirate a également bridgé les tokens en ETH et en USDC, obtenant environ 3 000 ETH (3,8 millions de dollars) et 500 000 USDC (500K USD).
Dans la foulée, le PDG de Binance, Changpeng Zhao, ou CZ, a informé que Binance avait suspendu les retraits. Il a également gelé environ 3 millions de dollars qui avaient été transférés à Binance par le pirate informatique.
Binance est une nouvelle fois sous les feux des projecteurs.
Les utilisateurs de Binance ne sont pas touchés par tout le chaos. Cependant, Binance a rapidement sonné la fin de l’alerte, affirmant que l’équipe BNB est en contact avec les parties concernées par le problème. « Ce n’est pas une attaque contre #Binance, et vos fonds sont SAFU sur notre échange », a déclaré Changpeng Zhao dans un communiqué via Twitter.
Tout récemment, la BNB chain avait introduit la fonction de liquid staking via Ankr, qui permettait aux utilisateurs de gagner des intérêts en stakant des tokens BNB et de recevoir des tokens synthétiques aBNBc. En août 2022 Binance Labs avait également réalisé un investissement stratégique dans Ankr. L’investissement visait à aider Ankr à améliorer l’évolutivité des réseaux blockchain.
Une mise en garde veine.
Il y a quelques mois, en juillet, la société de sécurité Blockchain PeckShieldAlert avait mené un audit pour Ankr. Le rapport d’audit mettait en garde Ankr contre un « problème de confiance avec les clés d’administration (admin keys) » à propos de l’impression (the minting) des tokens aBNB. Bien que l’équipe Ankr ait saisi l’avertissement, il semble qu’elle n’ait pas corrigé le problème à temps.
Au moment d’écrire ces lignes, il est difficile d’estimer combien les détenteurs de ces tokens ont perdu depuis que aBNB est tombé à zéro. Mais, d’un autre côté, BNB reste largement inchangé, se négociant vers les 290 $, en baisse de seulement 2,5 % au cours des dernières 24 heures.
Crypto : Une année marquée par le piratage
Cette année est particulièrement riche en piratages et en fraudes dans la crypto sphère. En octobre, c’était la BNB chain qui était touchée par un piratage, et en novembre c’est l’exchange FTX qui tombait pour fraude.
Lire notre article → La blockchain de Binance subit un piratage de 100 millions de dollars.
Tous ces évènements sont dramatiques du point de vue des utilisateurs et des amateurs de crypto-monnaies. Le pillage permanent des actifs numériques ruine les investisseurs et nuit gravement à l’image et au potentiel futur des cryptos. Cela entraîne le secteur vers une crise majeure qui rendra encore plus difficile l’adoption et l’utilisation des cryptos par le grand public. Et malheureusement, les grands gagnants de toutes ces fraudes et escroqueries pourraient bien être les gouvernements et les banques centrales avec l’avènement de plus en plus probable de leur MNBC (Monnaies Numériques de Banques Centrales).
Lire notre article → FTX : pourquoi les utilisateurs ne seront pas remboursés.