Hier, un protocole de la blockchain Arbitrum a été victime d’un hack qui a entraîné la perte de 7,7 millions de dollars en crypto.
L’attaquant a réussi à exploiter un problème dans la gestion interne des dérapages du protocole, ce qui lui a permis de gagner une fortune en l’espace de quelques minutes.
Voyons cela plus en détail.
Summary
Jimbos, le protocole crypto d’Arbitrum, piraté pour 7,7 millions d’euros
Le dimanche 28 mai à 02h30, Jimbos, un protocole crypto décentralisé basé sur Arbitrum, a été piraté pour 4.090 Ether, ce qui correspond à plus de 7,7 millions de dollars.
Le pirate a pu exploiter un problème de slippage dans la plateforme pour effectuer une série de transactions, emportant le butin et vidant les pool du protocole.
Le slippage, pour les non-initiés, concerne la différence entre le prix attendu d’une transaction et le prix auquel elle est effectivement exécutée.
Cet écart se produit généralement lorsque des commandes importantes sont passées par des baleines qui déséquilibrent la relation entre deux tokens dans un pool, ou lorsqu’il y a peu de liquidités sur un marché décentralisé.
Dans ce cas, cependant, le problème du protocole Jimbos ne concerne pas le slippage en soi, mais plutôt l’absence d’une mesure de contrôle capable de limiter les effets indésirables.
Cette adresse, grâce à la faille manifestée par le système, a pu manipuler la liquidité du protocole à prix cassés, en retirant 4090 éthers des pools par le biais d’une opération de reverse swap.
La nouvelle a été immédiatement remarquée et rapportée sur Twitter par Peckshield, une société de sécurité informatique dans le monde du web3, puis annoncée par l’équipe officielle du projet Jimbos
Le protocole Jimbos, créé il y a moins d’un mois, visait à lutter contre la volatilité de son token natif JIMBO grâce à une approche de test.
Malheureusement, la vulnérabilité du slippage était fatale et a permis à la partie malveillante de l’exploiter en sa faveur en modifiant le cours du token, qui a perdu environ 40% de son cours la nuit dernière.
Dans le graphique suivant (TraderJoe V2 market pair JIMBO-WETH), vous pouvez voir une grande bougie rouge, illustrant ce qui s’est passé.
À 02h00 le 28 mai, la bougie s’est ouverte avec un cours de 0,24 dollars, a atteint un sommet via un pic de 1808 dollars et a clôturé à 0,19 dollars par token.
Il est évident que la monstrueuse manipulation du prix de JIMBO a permis à l’attaquant d’en tirer profit.
Le flux de fonds volés sur Jimbo et la fuite du pirate
Après avoir altéré la stabilité du cours du protocole crypto basé sur Arbitrum, le criminel a utilisé le Bridge Stargate pour déplacer les 4090 ETH volés vers le réseau Celer.
Auparavant, le même individu avait utilisé le mélangeur Tornado Cash pour extraire les 1,6 ETH qui lui servaient de liquidités pour payer les frais de commission de ses opérations.
Tornado Cash est un protocole axé sur la privacy qui permet aux utilisateurs de perdre la trace de leurs transactions en mélangeant leurs fonds avec ceux d’autres utilisateurs de la plateforme.
Après plusieurs transactions, les fonds sont arrivés à cette adresse, où ils sont actuellement stockés.
L’image suivante proposée par Peckshield nous montre le déroulement du flux de crypto volé par l’attaquant qui, à la fin de la journée, a empoché 4048,3 ETH.
L’équipe de Jimbos, après avoir réalisé la fuite de capitaux, a déclaré sur les médias sociaux qu’elle avait contacté les forces de l’ordre et plusieurs équipes d’experts en cybersécurité qui avaient travaillé par le passé sur les exploits d’Euler Finance et de Santiment.
Rappelons que toutes les transactions effectuées en crypto-monnaie sont visibles publiquement sur la blockchain, bien que les détracteurs du secteur les décrivent comme impossibles à tracer.
Si l’attaquant commettait un faux pas, par exemple en essayant de vendre de l’ETH volé contre du FIAT, il serait découvert par des analystes qui lui couperaient l’herbe sous le pied, et grâce à la coopération de la bourse en question, il pourrait être rapidement identifié.
Un utilisateur expérimenté de web3 security impliqué dans l’équipe d’assistance de Jimbos a laissé entendre que les choses pourraient mal tourner pour le voleur s’il ne restitue pas les fonds immédiatement.
Crypto et sécurité informatique: les hacks ne concernent pas seulement Arbitrum
Malheureusement, les hack et les exploits dans le monde des crypto sont à l’ordre du jour et n’affectent pas seulement le réseau Arbitrum, mais l’ensemble du secteur DeFi.
Bien que plusieurs milliards de dollars soient investis dans une multitude de protocoles décentralisés, ce type de finance, libéré des intermédiaires de confiance, reste une expérience à améliorer.
En particulier, la complexité des smart contracts sur lesquels reposent ces marchés fait qu’une seule erreur dans le code ou un bug peut s’avérer fatal et compromettre l’ensemble du projet.
Rien qu’au mois de mai, en comptant le dernier hack de Jimbos, près de 17 millions de dollars ont été dérobés, ce qui au final est une somme dérisoire par rapport à ce qui a été dérobé par les hackers et les cyber-voleurs.
En effet, les données de DefiLama nous montrent que le total piraté depuis 2016 s’élève à quelques 6,5 milliards de dollars, avec un record de 782 millions de dollars en octobre 2022.
La niche la plus touchée dans ce contexte est celle des bridge, qui sont très vulnérables et pleins de failles qui sont ponctuellement exploitées par quelque utilisateur malveillant.
Environ 2,5 milliards de dollars ont été dérobés rien que pour les bridge.
L’espoir pour les années à venir est que nous puissions développer une sorte de protection contre les cyberattaques, grâce à la sensibilisation à ces questions et à une réglementation plus stricte du monde DeFi pour les crypto-criminels.
Malheureusement, l’évolution de la technologie et la création d’applications innovantes s’accompagnent de ces mésaventures, qui doivent toutefois servir de leçon à la communauté pour développer des méthodes de protection adéquates pour l’avenir.
