Mercredi soir, quelqu'un a drainé des fonds de plusieurs portefeuilles de crypto-monnaie connectés à la plate-forme financière décentralisée BadgerDAO. Selon Peckshield, la chaîne de sécurité et d'analyse des données, qui travaille avec Badger pour enquêter sur le casse, les différents jetons volés lors de l'attaque valent environ 120 millions de dollars.
Voici la localisation actuelle ainsi que la perte totale : 120,3 M$ (avec ~2,1k BTC + 151 ETH) @BadgerDAO pic.twitter.com/fJ4hJcMWTq
— PeckShield Inc. (@peckshield) 2 décembre 2021
Alors que l'enquête est toujours en cours, des membres de l'équipe Badger ont déclaré aux utilisateurs qu'ils pensaient que le problème provenait de quelqu'un qui a inséré un script dans l'interface utilisateur de leur site Web. Pour tous les utilisateurs qui interagissaient avec le site lorsque le script était actif, il intercepterait les transactions Web3 et insèrerait une demande de transfert des jetons de la victime à l'adresse choisie par l'attaquant.
En raison de la nature transparente des transactions, nous pouvons voir ce qui s'est passé une fois que les attaquants se sont précipités. PeckShield souligne un transfert qui a tiré 896 Bitcoin dans les coffres de l'attaquant, d'une valeur de plus de 50 millions de dollars. Selon l'équipe, le code malveillant est apparu dès le 10 novembre, car les attaquants l'ont exécuté à des intervalles apparemment aléatoires pour éviter d'être détecté.
Les systèmes de finance décentralisée (ou DeFi) s'appuient sur la technologie blockchain pour permettre aux propriétaires de crypto-monnaie d'effectuer des opérations financières plus typiques, comme gagner des intérêts via des prêts. BadgerDAO promet aux utilisateurs qu'ils peuvent “être tranquilles en sachant que vous n'aurez jamais à abandonner les clés privées de votre crypto, vous pouvez les retirer à tout moment et nos stratèges travaillent jour et nuit pour mettre vos actifs au travail”. Son protocole permet aux personnes disposant de Bitcoin de « relier » leur crypto-monnaie à la plate-forme Ethereum via son jeton et de profiter des opportunités DeFi auxquelles elles n'auraient peut-être pas accès autrement.
Pour l'instant, la pause sur les contrats intelligents se poursuit afin d'éviter de nouveaux retraits. Badger partagera d'autres mises à jour dès qu'elles seront disponibles.
— ₿adgerDAO (@BadgerDAO) 2 décembre 2021
Une fois que Badger a eu connaissance des transferts non autorisés, il s'est interrompu tous les contrats intelligents, gelant essentiellement sa plate-forme, et a conseillé aux utilisateurs de refuser toutes les transactions aux adresses de l'attaquant.
Jeudi soir, la société a déclaré qu'elle avait « retenu les experts en criminalistique des données Chainalysis pour explorer toute l'ampleur de l'incident & autorités aux États-Unis & Le Canada a été informé & Badger coopère pleinement avec les enquêtes externes ainsi qu'avec les siennes. »
L'une des choses que Badger étudie est la façon dont l'attaquant a apparemment accédé à Cloudflare via une clé API qui aurait dû être protégée par une authentification à deux facteurs. Bien que l'attaque n'ait pas révélé de failles spécifiques au sein de la technologie Blockchain elle-même, elle a réussi à exploiter l'ancienne technologie « web 2.0 » que la plupart des utilisateurs doivent utiliser pour effectuer des transactions. Les systèmes d'authentification multifacteur protègent nos comptes contre de nombreux schémas de phishing ou des attaques de bourrage d'informations d'identification en masse. Pourtant, les experts ont mis en garde à plusieurs reprises contre les attaques de phishing ciblées qui peuvent le contourner, tandis que des boîtes à outils pour automatiser le processus sont disponibles depuis des années. Un avis du FBI en 2019 (pdf) a appelé les capacités croissantes des criminels à contourner le MFA et a suggéré des changements ou une formation qui pourraient rendre de telles attaques plus difficiles à réaliser.
« l'une des équipes les plus soucieuses de la sécurité de DeFi »
Obtenir une authentification à deux facteurs correcte peut être difficile même dans les applications financières typiques – il suffit de demander à PayPal. Mais des incidents comme celui-ci, ou le détournement de 600 millions de dollars volé et restitué dont Poly Network a été victime en août, ou le cambriolage de 53 millions de dollars qui a touché le premier DAO en 2016, sont, espérons-le, suffisants pour sensibiliser à la sécurité au-delà des protocoles et du cryptage.
Un commentateur de Badger's Discord a résumé la situation en disant : « Tous [les] audits de blockchain/contrats intelligents dans le monde, et les gens perdent 120 m à cause d'une fuite d'API Cloudflare par un équipe où un mec passe une nouvelle approbation à son contrat dans l'en-tête du site – GG – nous avons encore un long chemin à parcourir. Un membre de l'équipe a déclaré : « Je suis sûr que nous aurons des procédures d'atténuation proposées après cela. »
Quels fonds peuvent être récupérés et comment les personnes affectées seront guéries est encore inconnue. Mais pour tous ceux qui vivent dans le monde des applications crypto, blockchain et Web3, il peut leur incomber en fin de compte d'apprendre comment fonctionnent réellement les approbations, la signature et les transactions et de les surveiller. En particulier lorsque des millions de dollars en avoirs peuvent disparaître en un instant même lorsqu'ils sont gérés par « l'une des équipes les plus soucieuses de la sécurité de DeFi », comme Badger se réfère à lui-même.
:no_upscale()/cdn.vox-cdn.com/uploads /chorus_asset/file/23059609/badger_sc.jpg "Quelqu'un a volé 120 millions de dollars en crypto en piratant un site Web DeFi")
Image : BadgerDAO Crypto/security people : we ne peut *peut-être* pas exécuter une application de messagerie sécurisée sur le Web car tout est trop peu sûr !
Les gens de Dapp : sécurisons 100 millions de dollars en utilisant Javascript servi par Cloudflare.
— Matthew Green (@matthew_d_green) Décembre 2, 2021