Getting your Trinity Audio player ready...
|
Dernière modification effectuée le 14.08.2023 19:54
La BNB Chain a déjà connu mieux comme nuit, et c’est le moins qu’on puisse dire. En effet, dans la nuit du jeudi 6 au vendredi 7 octobre, la blockchain a été victime d’un hack à 110 millions de dollars. À 00h20 heure française, la BNB Chain a été mise en pause, suite aux premiers retours d’activité irrégulière. Tous les dépôts et retraits ont également été gelés en attente de mises à jour.
Finalement, cette activité irrégulière s’est avérée être un hack. Un hackeur a pris pour cible la blockchain de Binance et s’en est sorti avec 110 millions de dollars, mais cela n’est qu’une fraction de la taille globale de l’exploit. Les données on-chain nous rapportent plus de détails sur les différentes actions de l’assaillant.
Le hackeur a en fait exploité une faille présente dans le bridge nommé BSC Token Hub. Le bridge est plus précisément un bridge cross-chain, entre la BNB Beacon Chain (BEP2) and BNB Chain (BEP20 or BSC).
Hack de la BNB Chain : suivi des mouvements du hackeur
Le pirate a utilisé un processus complexe en plusieurs étapes afin d’exploiter le bug dans le pont (bridge). Pour faire bref, ce dernier a falsifié le code du bridge afin de pouvoir effectuer deux retraits distincts d’un million de BNB. Cela correspond donc à 2 millions de BNB retirés, soit environ 566 millions de dollars, rien que ça. Après le retrait, le pont a envoyé les fonds et continué de fonctionner normalement. Plusieurs membres de la communauté ont ensuite émis des soupçons sur le montant des retraits. S’en est suivi la mise en pause de la blockchain évoquée en un peu plus haut.
Rusé, le hackeur ne s’est pas arrêté là. En effet, il a ensuite utilisé ces 2 millions de BNB en collatéral sur le protocole Venus afin d'emprunter pour environ 150 millions de dollars en stablecoins. Tether a mis sur liste noire au moins 6,5 millions de dollars de ce butin, empêchant le pirate d’encaisser les USDT qu’il a emprunté.
Le pirate a également utilisé plusieurs stratégies afin de déployer ses fonds sur d’autres réseaux. Ce dernier a majoritairement converti les fonds volés en ETH. Heureusement, la majeure partie des fonds transférés n’a pas réussi à être blanchie. Une énorme partie des fonds est donc restée sur la BNB Chain. Un énorme soulagement donc pour le plus gros exchange mondial.
Hack de la BNB Chain : correction et remise en route
Après coup, Changpeng Zhao (CZ) s’est lui-même exprimé sur Twitter. Le milliardaire a tenu a s’excuser pour les désagréments et en a profité pour rassurer tout le monde : les fonds sont en sécurité. Au même moment, la BNB Chain estime avoir déjà gelé 7 millions de dollars issus de l’attaque.
S’en suit donc le calme après la tempête. La BNB Chain a réussi à redémarrer son réseau après avoir synchronisé les validateurs grâce à une mise à jour d’urgence. Les différents comptes du pirate sont hors d’état de nuire, et la communication inter-chaînes entre la BNB Beacon Chain et la BNB Smart Chain a été désactivée. Les choses sont désormais revenues à la normale et le réseau fonctionne maintenant normalement.
Pour finir, la BNB Chain a fourni un communiqué officiel, disponible ici. Dans ce dernier, l’équipe revient sur la chronologie des faits mais également sur ce qui se passera ensuite. On y apprend que des votes de gouvernance auront lieu sur la chaîne. Quatre actions pour le bien commun du BNB ont été proposées :
- Que faire des fonds piratés : les geler ou ne pas les geler ?
- Utiliser l’Auto-Burn de BNB pour couvrir les fonds piratés restants ou non ?
- Un programme Whitehat pour les futurs bugs trouvés avec 1 million de dollars à la clé pour chaque bug important trouvé
- Une prime pour attraper le ou les hackeurs, jusqu’à 10% des fonds récupérés.
Les votes seront activés pour les validateurs dans les prochains jours. L’équipe a également précisé qu’elle révèlerait ouvertement les détails de l’attaque afin d’en tirer des enseignements, mais également sur comment mettre en œuvre des mesures de sécurité plus avancées afin de combler ces vulnérabilités.
Conclusion et enseignements
Ce hack a provoqué un véritable raz-de-marée sur les réseaux sociaux. De nombreuses personnes se sont questionnées sur la décentralisation du réseau.
En effet, le fait qu’une blockchain puisse d’être mise en pause d’une telle manière ne plait pas à de nombreuses personnes dans l’écosystème. Rappelons que la chaîne était déjà critiquée pour son manque de décentralisation, avec seulement 26 validateurs actifs à ce jour. Ce hack n’arrangera pas les choses pour Binance, mais force est de constater que ces derniers s’en sortent au final extrêmement bien dans cette histoire.