La plate-forme DeFi bZX voit un nouveau hack de 8 millions de dollars à partir d’une ligne de code mal placée

La plate-forme DeFi bZX voit un nouveau hack de 8 millions de dollars à partir d’une ligne de code mal placée

Ltc crypto coin

Le protocole Fulcrum DeFi développé par bZX, qui avait récemment relancé après qu’une série de hacks en février a contraint l’équipe à se regrouper, a été de nouveau piraté pour environ 8 millions de dollars.

Selon la divulgation de l’incident par bZX, le coupable est une ligne de code placée au mauvais endroit dans le contrat pour ses «iTokens», le jeton représentant la part d’un utilisateur dans le pool d’actifs fournis – essentiellement un solde de dépôt symbolisé.

Un correctif a été rapidement déployé pour éviter de nouvelles occurrences. Comme l’a souligné Anton Bukov, directeur de la technologie chez 1inch.exchange, le correctif a simplement déplacé une ligne de code de plusieurs positions en dessous.

Le bogue dupliquait les jetons lorsqu’un utilisateur s’envoyait une transaction via une fonction particulière. Sous le capot, le contrat soustrait simplement la valeur de la transaction de celle de l’expéditeur et l’ajoute à celle du destinataire. Le contrat créait des variables temporaires représentant les soldes initiaux de l’expéditeur et du destinataire, et les utilisait pour les mettre à jour.

Dans le cas où le destinataire et l’expéditeur sont les mêmes, cependant, la soustraction a eu lieu après que les variables d’équilibre initiales ont été définies. Cela signifiait que la soustraction n’avait aucun effet, de sorte que les attaquants pouvaient simplement créer de nouveaux jetons à volonté.

Les jetons dupliqués ont ensuite été échangés contre leur garantie sous-jacente, les pirates informatiques «détenant» désormais un pourcentage beaucoup plus élevé du pool qui leur a permis de drainer 219199,66 LINK, 4502,70 Ether (ETH), 1756351,27 Tether (USDT), 1412 048,48 USD Coin (USDC) et 667 988,62 Dai (DAI) – une valeur totale de 8 millions de dollars.

L’expérience passée a conduit bZX à créer un fonds d’assurance pour couvrir ces «événements du cygne noir», et les coins volées ont ainsi été débitées du fonds, qui reçoit 10% des revenus du protocole via les taux d’intérêt. Néanmoins, le protocole Fulcrum s’est retrouvé avec seulement 6 millions de dollars en valeur totale verrouillés après l’incident.

Le remboursement de cette dette peut donc nécessiter un temps considérable, et repose sur le succès du protocole malgré la souffrance de ces bogues. L’équipe bZX s’est fermement engagée à sécuriser les pratiques avec de multiples audits de Certik et PeckShield, ainsi qu’un programme de prime aux bogues revigoré.

Cela semble avoir été insuffisant, ce qui souligne que la création d’un protocole DeFi sécurisé est plus difficile qu’il n’y paraît.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *