Un bogue logiciel a permis aux pirates de drainer 31 millions de dollars d’un service de cryptographie
Démarrage de la blockchain MonoX Les finances ont déclaré mercredi qu’un pirate informatique avait volé 31 millions de dollars en exploitant un bogue dans le logiciel utilisé par le service pour rédiger des contrats intelligents.
La société utilise un protocole financier décentralisé connu sous le nom de MonoX qui permet aux utilisateurs d’échanger des jetons de monnaie numérique sans certaines des exigences des échanges traditionnels. Les propriétaires de projet peuvent répertorier leurs jetons sans le fardeau des exigences de capital et se concentrer sur l’utilisation des fonds pour la construction du projet au lieu de fournir des liquidités, ont écrit les représentants de la société MonoX en novembre. Il fonctionne en regroupant les jetons déposés dans une paire virtuelle avec vCASH, pour offrir une conception de pool de jetons unique.
Une erreur comptable intégrée au logiciel de l’entreprise a permis à un attaquant de gonfler le prix du jeton MONO, puis de l’utiliser pour encaisser tous les autres jetons déposés, a révélé MonoX Finance dans un article. Le transport s’élevait à 31 millions de dollars de jetons sur les chaînes de blocs Ethereum ou Polygon, toutes deux prises en charge par le protocole MonoX.
Plus précisément, le hack a utilisé le même jeton que tokenIn et tokenOut, qui sont des méthodes pour échanger la valeur d’un jeton contre un autre. MonoX met à jour les prix après chaque swap en calculant de nouveaux prix pour les deux jetons. Lorsque l’échange est terminé, le prix du tokenInc’est-à-dire le token envoyé par l’utilisateur diminue et le prix du tokenOut ou du token reçu par l’utilisateur augmente.
En utilisant le même token pour tokenIn et tokenOut, le pirate a considérablement gonflé le prix du token MONO car la mise à jour du tokenOut a écrasé la mise à jour du prix du tokenIn. Le pirate a ensuite échangé le jeton contre 31 millions de dollars de jetons sur les blockchains Ethereum et Polygon.
Il n’y a aucune raison pratique d’échanger un jeton contre le même jeton, et donc le logiciel qui effectue les transactions n’aurait jamais dû autoriser de telles transactions. Hélas, il l’a fait, bien que MonoX ait reçu trois audits de sécurité cette année.
Les pièges des contrats intelligents
Ces types d’attaques sont courants dans les contrats intelligents, car de nombreux développeurs ne se sont pas chargés de définir les propriétés de sécurité de leur code, a déclaré Dan Guido, un expert de la sécurisation des contrats intelligents comme celui piraté ici. Ils ont eu des audits, mais si les audits indiquent seulement qu’une personne intelligente a regardé le code pendant une période donnée, alors les résultats ont une valeur limitée. Les contrats intelligents ont besoin de preuves vérifiables qu’ils font ce que vous avez l’intention de faire et uniquement ce que vous avez l’intention de faire. Cela signifie des propriétés de sécurité définies et des techniques utilisées pour les évaluer.
Le PDG du cabinet de conseil en sécurité Trail of Bits, Guido a poursuivi :
La plupart des logiciels nécessitent une atténuation des vulnérabilités. Nous recherchons de manière proactive les vulnérabilités, reconnaissons qu’elles peuvent ne pas être sécurisées lors de leur utilisation et construisons des systèmes pour détecter quand elles sont exploitées. Les contrats intelligents nécessitent l’élimination de la vulnérabilité. Les techniques de vérification des logiciels sont largement utilisées pour offrir des assurances prouvables que les contrats fonctionnent comme prévu. La plupart des problèmes de sécurité dans les contrats intelligents surviennent lorsque les développeurs adoptent la première approche de sécurité au lieu de la seconde. Il existe de nombreux contrats et protocoles intelligents volumineux, complexes et très précieux qui ont évité des incidents, aux côtés des nombreux qui ont été instantanément exploités lors de leur lancement.
Igor Igamberdiev, chercheur en blockchain a pris sur Twitter pour décomposer la composition des jetons drainés. Les jetons comprenaient 18,2 millions de dollars d’Ethereum enveloppé, 10,5 millions de jetons MATIC et 2 millions de dollars de WBTC. Le transport comprenait également de plus petites quantités de jetons pour Wrapped Bitcoin, Chainlink, Unit Protocol, Aavegotchi et Immutable X.
Seul le dernier hack DeFi
MonoX n’est pas le seul protocole financier décentralisé à être victime d’un piratage de plusieurs millions de dollars. En octobre, Indexed Finance a déclaré avoir perdu environ 16 millions de dollars dans un piratage qui exploitait la façon dont il rééquilibre les pools d’indices. Plus tôt ce mois-ci, la société d’analyse de blockchain Elliptic a déclaré que les soi-disant protocoles DeFi avaient perdu 12 milliards de dollars en raison du vol et de la fraude. Les pertes au cours des 10 premiers mois environ de cette année ont atteint 10,5 milliards de dollars, contre 1,5 milliard de dollars en 2020.
L’immaturité relative de la technologie sous-jacente a permis aux pirates de voler les fonds des utilisateurs, tandis que les profonds réservoirs de liquidités ont permis aux criminels de blanchir les produits du crime tels que les ransomwares et la fraude, selon le rapport Elliptic. Cela fait partie d’une tendance plus large à l’exploitation des technologies décentralisées à des fins illicites, qu’Elliptic appelle DeCrime.
.