A
A

Victime d'une Vulnérabilité Critique, Bancor décide de "s'auto-hacker"

mar 23 Juin 2020 ▪ 12h00 ▪ 4 min de lecture - par Rédaction CT

Bancor (BNT) a récemment fait l’objet d’une grosse mise à jour. Problème, une faille n’a pas tardé à être repérée, le genre de faille qu’il n’est pas possible d’ignorer tant elle était de nature à compromettre les smart contracts du système et mettre en péril les fonds des utilisateurs. Pour résoudre le problème, une solution peu orthodoxe a été adoptée : un auto-hacking par les concepteurs du système d’exchange décentralisé.

Bancor, BNT, hack

Le bug important qui échappe à plusieurs contrôles d’audit

La dernière version de Bancor récemment présentée au public comportait une faille importante dans le noyau du réseau. En effet, deux jours après le lancement de l’exchange décentralisé Bancor, un développeur inconnu remarque une anomalie grave.

Les retraits approuvés par les traders qui négocient sur Bancor (BNT) pouvaient être révoqués à la demande via une plateforme web spécialisée. Il s’agit du « safeTransferFrom » qui pouvait être lancé sans une autorisation propre, tel qu’expliqué dans un tweet de Hex Capital. Cette faille aurait donc permis à un tiers de récupérer les fonds, sans nécessiter l’autorisation du propriétaire du compte.

Très vite, une solution d’urgence a été mise au point : il fallait hacker le réseau pour déplacer les fonds à risques dans un répertoire plus sûr. Évidemment, l’équipe a dû exploiter la même faille détectée pour procéder à cette manœuvre de sauvetage.

Pourtant, un audit de sécurité effectué par Kanso Labs avait eu lieu avant le lancement de la nouvelle version de Bancor. Les utilisateurs ont donc échappé de justesse à une perte de plusieurs millions d’euros si la faille avait été découverte par un tiers mal intentionné.

Bancor aurait-il volé des fonds de ses utilisateurs dès le début ?

Selon l’équipe 1inch.exchange, il y aurait à l’intérieur du réseau plus de deux avant-gardistes ayant exploité la faille pour prélever des fonds d’utilisateurs. À leur décharge, les programmes d’arbitrage prévus par le système étaient incapables de faire la différence entre un arbitrage et un piratage.

Suite à cette découverte accablante, tous les pionniers ont promis de restituer les fonds obtenus en tirant parti des bugs ayant mal défini certaines opportunités d’arbitrage. D’après un rapport du 1inch.exchange :

« L’équipe Bancor a récupéré 409 656 $ au total et dépensé 3,94 ETH pour le gaz, tandis que les précurseurs automatiques ont récupéré 135 229 $ et dépensé 1,92 ETH pour le gaz. Les utilisateurs ont été facturés 544 885 $ au total. »

Une somme importante avait donc fuité dès le début de Bancor, malgré les différents audits réalisés à chaque nouvelle version. Cela aurait donné naissance à une véritable bombe à retardement dans l’univers des cryptomonnaies. Il faut retenir qu’aucun audit ne pouvait garantir la fiabilité à 100 % du système d’exchange avant le lancement.

Il faudra désormais redoubler d’efforts pour regagner la confiance des investisseurs, après qu’une erreur aussi grave ait été révélée au grand public.

Recevez un condensé de l’actualité dans le monde des cryptomonnaies en vous abonnant à notre nouveau service de newsletter quotidienne et hebdomadaire pour ne rien manquer de l’essentiel Cointribune !

A
A
Rédaction CT avatar
Rédaction CT

Derrière la signature générique « Rédaction CT » se trouvent de jeunes journalistes et des auteurs aux profils particuliers qui souhaitent garder l’anonymat car impliqués dans l’écosystème avec certaines obligations.

DISCLAIMER

Les propos et opinions exprimés dans cet article n'engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d'investissement.

Ne manquez aucune actu et abonnez-vous à Cointribune sur Google Actualités !