Wormhole a été piratée pour 325 millions de dollars après une erreur de GitHub

Partager sur facebook
Facebook
Partager sur twitter
Twitter
Partager sur whatsapp
WhatsApp
Partager sur telegram
Telegram

Mercredi, la plateforme de finance décentralisée (DeFi) Wormhole a été victime du plus grand vol de crypto-monnaies de l’année. En effet, un pirate informatique a exploité une faille de sécurité pour s’emparer de près de 325 millions de dollars.

L’attaque semble avoir résulté d’une mise à jour récente du serveur GitHub du projet, qui a révélé un correctif pour un bogue qui n’avait pas encore été déployé dans le projet lui-même.

L’attaque a eu lieu le 2 février et a été remarquée lorsqu’un message du compte Twitter de Wormhole a annoncé que le réseau était hors service pour maintenance pendant l’examen d’un exploit potentiel. Un message ultérieur de Wormhole a confirmé le piratage et le montant de l’argent volé.

Peu après l’attaque, l’équipe de Wormhole a également offert au pirate une prime de 10 millions de dollars pour restituer les fonds, qui étaient intégrés sous forme de texte dans une transaction envoyée à l’adresse du portefeuille Ethereum de l’attaquant.

Wormhole fournit un service connu sous le nom de « pont » entre les blockchains, essentiellement un système d’épargne qui vous permet de déposer un type de crypto-monnaie afin de créer des actifs dans une autre crypto-monnaie. Cela permet à une personne ou à une entité détenant des actifs dans une crypto-monnaie d’effectuer des transactions et des achats en utilisant une autre, un peu comme si l’on alimentait un compte bancaire en euros et que l’on utilisait ensuite une carte bancaire pour acheter quelque chose dont le prix est en dollars.

Pour mener à bien cette attaque, l’attaquant a réussi à falsifier une signature valide pour une transaction qui lui a permis de frapper librement 120 000 wETH – un équivalent Ethereum « enveloppé » sur la blockchain Solana, d’une valeur équivalente à 325 millions de dollars au moment du vol. Sans déposer au préalable un montant équivalent. Cette somme a ensuite été échangée contre environ 250 millions de dollars en Ethereum qui ont été envoyés de Wormhole vers le compte des pirates, liquidant ainsi une grande partie des fonds Ethereum de la plateforme qui étaient détenus comme garantie pour les transactions sur la blockchain Solana.

Les commits de code open-source montrent que le code qui aurait corrigé cette vulnérabilité a été écrit dès le 13 janvier et téléchargé sur le serveur GitHub de Wormhole le jour de l’attaque. Quelques heures plus tard, la vulnérabilité a été exploitée par le pirate, ce qui suggère que les mises à jour n’avaient pas encore été appliquées à l’application de production.

Comme l’a fait remarquer le développeur de logiciels Matthew Garrett sur Twitter, le téléchargement du code était décrit comme s’il s’agissait d’une mise à jour ordinaire, mais il contenait en réalité des modifications importantes, un fait qui aurait pu donner au pirate l’idée qu’il s’agissait d’un correctif de sécurité déguisé.

Un autre fichier disponible sur la page Github de Wormhole décrit également un audit de sécurité mené par la société de recherche en sécurité Neodyme entre juillet et septembre 2021. Il n’est pas clair si la vulnérabilité était présente pendant la période d’audit.

En raison de la nature des applications cross-chain, l’attaque a temporairement laissé un énorme déficit entre le montant d’Ethereum enveloppé et d’Ethereum ordinaire détenu dans le pont Wormhole, comme si l’actif collatéral garantissant un prêt avait soudainement disparu. Selon Forbes, l’attaque a fait chuter la valeur de la crypto-monnaie Solana de 10 % à la suite du piratage.

L’équipe de Wormhole a annoncé que davantage d’Ethereum serait ajouté au pont pour remplacer les fonds de garantie volés, ce qui signifie que la société devra trouver 325 millions de dollars d’actifs pour combler le vide.

Pour l’instant, on ne sait pas d’où viendront les fonds. Les questions envoyées à Jump Crypto, la société mère des développeurs de l’application Wormhole, sont restées sans réponse au moment de la publication de cet article.

Partager sur facebook
Facebook
Partager sur twitter
Twitter
Partager sur whatsapp
WhatsApp
Partager sur telegram
Telegram