Le projet de crypto-monnaie Beanstalk volé après que le pirate informatique a voté pour s’envoyer 182 millions de dollars
Dimanche, un attaquant a réussi à drainer environ 182 millions de dollars de crypto-monnaie de Beanstalk Farms, un projet de financement décentralisé (DeFi) visant à équilibrer l’offre et la demande de différents actifs de crypto-monnaie. Notamment, l’attaque a exploité le système de gouvernance du vote majoritaire Beanstalks, une caractéristique essentielle de nombreux protocoles DeFi.
L’attaque a été repéré dimanche matin par la société d’analyse de chaînes de blocs PeckShield, qui a estimé que le bénéfice net du pirate était d’environ 80 millions de dollars du total des fonds volés, moins certains des fonds empruntés nécessaires pour effectuer l’attaque.
Beanstalk admis à l’attaque dans un tweet peu de temps aprèsdisant qu’ils enquêtaient sur l’attaque et feront une annonce à la communauté dès que possible.
Beanstalk se décrit comme un protocole de stablecoin basé sur le crédit décentralisé. Il exploite un système dans lequel les participants gagnent des récompenses en versant des fonds à un pool de financement central (appelé le silo) qui est utilisé pour équilibrer la valeur d’un jeton (appelé haricot) à près de 1 $.
Comme de nombreux autres projets DeFi, les créateurs de Beanstalk, une équipe de développement appelée Publius, ont inclus un mécanisme de gouvernance où les participants pouvaient voter collectivement sur les modifications du code. Ils obtiendraient alors des droits de vote proportionnels à la valeur des tokens qu’ils détiennent, créant une vulnérabilité qui s’avérerait être la ruine des projets.
L’attaque a été rendue possible par un autre produit DeFi appelé prêt flash, qui permet aux utilisateurs d’emprunter de grandes quantités de crypto-monnaie pendant de très courtes périodes (minutes voire secondes). Les prêts flash sont destinés à fournir des liquidités ou à profiter d’opportunités d’arbitrage de prix, mais peuvent également être utilisés à des fins plus néfastes.
Selon l’analyse de la société de sécurité blockchain CertiK, l’attaquant Beanstalk a utilisé un prêt flash obtenu via le protocole décentralisé Aave pour emprunter près d’un milliard de dollars en actifs de crypto-monnaie et les a échangés contre suffisamment de haricots pour obtenir une participation de 67% dans le projet. Avec cette participation supermajoritaire, ils ont pu approuver l’exécution du code qui a transféré les actifs dans leur propre portefeuille. L’attaquant a ensuite remboursé instantanément le prêt flash, réalisant un bénéfice de 80 millions de dollars.
Sur la base de la durée d’un prêt flash Aave, l’ensemble du processus s’est déroulé en moins de 13 secondes.
Nous constatons une tendance croissante aux attaques de prêts flash cette année, a déclaré le PDG et co-fondateur de CertiK, Ronghui Gu. Ces attaques soulignent davantage l’importance d’un audit de sécurité, ainsi que la sensibilisation aux pièges des problèmes de sécurité lors de l’écriture de code Web3.
Lorsqu’ils sont correctement mis en œuvre, les services DeFi bénéficient de toute la sécurité de la blockchain, mais leur complexité peut rendre le code difficile à auditer entièrement, faisant de ces projets une cible attrayante pour les pirates. Dans le cas du piratage Beanstalk, l’équipe Publius a admis qu’elle n’avait inclus aucune disposition pour atténuer la possibilité d’une attaque de prêt flash, bien que cela ne soit vraisemblablement pas apparent jusqu’à ce que la situation se produise.
Une demande de commentaire (envoyée à l’équipe Publius via Discord) n’a pas encore reçu de réponse au moment de mettre sous presse.
Brian Pasfield, directeur technique de la plateforme de prêt de crypto-monnaie Fringe Finance, a déclaré que les structures de gouvernance décentralisées (appelées DAO) pourraient également créer des problèmes.
La gouvernance DAO est actuellement à la mode dans DeFi, a déclaré Pasfield. Bien qu’il s’agisse d’une étape nécessaire dans le processus de décentralisation, elle doit être effectuée progressivement et en pesant soigneusement tous les risques possibles. Les développeurs et les administrateurs doivent être conscients des nouveaux points de défaillance qui peuvent être créés intentionnellement ou par accident par les développeurs ou les membres de DAO.
Pour les investisseurs de Beanstalk qui ont perdu leurs pièces mises en jeu, il peut y avoir peu de recours. Dans un message publié immédiatement après le piratage, les fondateurs de Beanstalk ont écrit qu’il était très peu probable que le projet reçoive un renflouement car il n’avait pas été développé avec le soutien de VC, ajoutant que nous étions foutus.
Dans les projets serveur Discord, de nombreux utilisateurs affirment avoir perdu des dizaines de milliers de dollars de crypto-monnaie investie. Depuis l’attaque, le pirate a été déplacer des fonds via Tornado Cash, un service de mixage axé sur la confidentialité qui est devenu une étape incontournable dans le blanchiment de fonds de crypto-monnaie volés. Avec une grande partie de l’argent volé maintenant obscurci, il est peu probable qu’il soit retrouvé et restitué.
À la suite de l’attaque, la valeur du stablecoin BEAN a chuté, cassant la cheville de 1 $ et s’échangeant à environ 14 cents lundi après-midi.