Dans la nuit du 6 au 7 octobre 2022, un pirate s’est attaqué à la Binance Smart Chain (BSC), une blockchain mise à disposition par Binance, la plus importante plate-forme d’échange de cryptomonnaies au monde. L’entreprise a confirmé qu’une attaque était en cours durant la nuit, autour de minuit. Après avoir identifié « une activité irrégulière » sur la blockchain, Binance a temporairement suspendu le réseau. Sur Twitter, la plate-forme expliquait qu’une vulnérabilité était potentiellement exploitée par un acteur malveillant.
Au terme de l’attaque, un mystérieux hacker s’est emparé de 560 millions de dollars en cryptomonnaies. Le pirate a collecté deux millions de tokens BNB, la cryptomonnaie de Binance, par le biais de deux transactions. Une partie des fonds dérobés ont été rapidement transférés sur d’autres blockchains. Pour échapper aux équipes de Binance, l’attaquant a en effet converti les BNB en d’autres crypto-actifs, comme de l’Ether.
À lire aussi : premier hack suite à The Merge, la cryptomonnaie Ether est-elle en danger ?
Encore une faille dans un pont de cryptomonnaies
Apparemment, le pirate derrière l’attaque s’est appuyé sur une faille de sécurité au sein de BSC Token Hub, un pont qui relie deux blockchains de Binance, la BNB Beacon Chain et la BNB Smart Chain. Changpeng Zhao, PDG et fondateur de Binance, a confirmé le mode opératoire du pirate dans un message sur son compte Twitter. Le dirigeant précisait que les cryptomonnaies des usagers étaient en sécurité pendant la pause de la blockchain.
An exploit on a cross-chain bridge, BSC Token Hub, resulted in extra BNB. We have asked all validators to temporarily suspend BSC. The issue is contained now. Your funds are safe. We apologize for the inconvenience and will provide further updates accordingly.
— CZ 🔶 Binance (@cz_binance) October 6, 2022
Un pont (bridge) entre deux blockchains permet aux investisseurs d’échanger des cryptomonnaies d’un réseau à l’autre. Lors de l’opération, les fonds sont bloqués dans un contrat intelligent, un programme automatisé, et dupliqués sur la chaîne de blocs de destination. Les tokens bloqués ne sont évidemment pas accessibles à l’utilisateur.
Five hours ago, an attacker stole 2 million BNB (~$566M USD) from the Binance Bridge. During that time, I've been working closely with multiple parties to triage and resolve this issue. Here's how it all went down. pic.twitter.com/E0885Dc3lW
— samczsun (@samczsun) October 6, 2022
Dans le cadre de l’attaque, le pirate a convaincu la passerelle de lui donner un million de tokens BNB à deux reprises, estime Sam Sun, l’un des chercheurs de Paradigm, une firme d’investissement spécialisée dans les actifs numériques. L’expert a publié une longue enquête détaillée sur les méthodes du hacker sur Twitter.
Pour duper le pont, l’attaquant aurait falsifié les preuves qui poussent un contrat intelligent à déclencher l’émission de tokens sur une chaîne de blocs. En clair, « il y avait une faille dans la façon dont le pont de Binance vérifiait les preuves », explique Sam Sun.
Notez que le piratage repose une nouvelle fois sur la fragilité d’une passerelle de cryptomonnaies. La plupart des hacks de ces derniers mois concernent en effet des ponts entre blockchains. Citons notamment le hack d’Horizon Bridge en juin, qui s’est soldé par la disparition de 98 millions de dollars, du pont Nomad ou encore de Poly Network en 2021.
Les experts du secteur, dont des sociétés comme Chainanalysis ou Elliptic, s’accordent à dire que les ponts sont le point faible de l’écosystème crypto. C’est pourquoi ils sont dans le collimateur des cybercriminels.
Comment Binance a évité le pire
Heureusement, le pirate a conservé 80 % des avoirs dérobés directement sur la Binance Smart Chain. Binance a donc été en mesure de geler une grande partie (430 millions de dollars) des fonds avant que le hacker ne disparaisse avec le butin. De son côté, Tether, la firme qui émet le stablecoin USDT, a mis l’adresse du pirate sur liste noire.
La plate-forme d’échange de crypto-monnaies estime que le pirate n’est parvenu à extraire “que” 100 à 110 millions de dollars en dehors de la BSC. Néanmoins, il faudra encore attendre un peu avant que Binance ne fasse le point sur la question. Pour geler les avoirs volés et arrêter la blockchain, Binance est entré en contact avec les validateurs, les individus qui sécurisent les transactions de la BSC. La firme a obtenu l’accord de la communauté et le réseau a été stoppé.
« Les chaînes décentralisées ne sont pas conçues pour être arrêtées, mais en contactant les validateurs communautaires un par un, nous avons pu empêcher l’incident de se propager. Ce n’était pas si facile car la BNB Smart Chain compte actuellement 26 validateurs actifs et 44 au total dans différents fuseaux horaires. Cela a retardé la suspension, mais nous avons pu minimiser la perte », explique Binance dans un billet de blog.
Des changements à venir sur la BSC
Une fois que l’origine de la vulnérabilité a été repérée, Binance a relancé la Binance Smart Chain ce vendredi 7 octobre 2022 autour de 9 heures. Les équipes de Binance ont déployé une mise à jour sur la chaîne de blocs pour corriger la faille et éviter d’autres vols.
Proactif, Binance a annoncé des changements sur la blockchain BSC. Pour mettre en place ces modifications, la plate-forme doit demander l’accord de la communauté. En effet, l’infrastructure décentralisée ne permet pas à Binance d’imposer des changements unilatéralement.
Parmi les questions qui seront évoquées lors de « votes sur la gouvernance », on trouve la possibilité de geler indéfiniment les fonds piratés. Binance propose aussi de lancer deux programmes de primes. Ces programmes visent à récompenser les hackers qui découvrent une faille ou empêchent un acteur malveillant de lancer une attaque.
Sans surprise, le hack a plombé le cours du BNB, la devise numérique de Binance. Peu après l’attaque, le BNB s’est effondré autour des 280 dollars. Avant l’annonce, le token s’échangeait encore au-delà des 290 dollars. Malgré ce revers, le BNB reste la cinquième cryptomonnaie la plus valorisée du marché.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Binance