L’écosystème crypto traverse une période particulièrement difficile sur le plan de la sécurité de ses protocoles ; les piratages se multiplient et ciblent principalement le secteur de la finance décentralisée (aussi désignée sous le nom de DeFi). En effet, au moins huit piratages ont eu lieu récemment dont quatre pour le seul mois d’août. Le dernier en date a ciblé Acala Network.
Basé sur Polkadot (DOT), le stablecoin décentralisé aUSD d’Acala Network, qui a pour rappel été lancé au mois de juin dernier, a été victime ce dimanche aux alentours d’une heure du matin (GMT+2) d’une attaque qui lui a fait perdre son ancrage au dollar australien.
En conséquence son prix a énormément chuté et sa valeur est descendue de plus de 99 %, si bien qu’il est passé en dessous de la barre de 0,1 dollar sur l’exchange KuCoin, l’un des rares qui avait autorisé le listing de cette cryptomonnaie. En outre il se négocie actuellement à 0,00898 dollar, soit une baisse de près de 9 % sur les dernières 24 heures et de 99,1 % en une semaine.
Au même moment le jeton Acala (ACA) souffre de cette récente débâcle et a subi une baisse de plus de 7,5 % en une seule journée, un pourcentage qui monte à 18 % si on regarde l’évolution du prix sur la semaine entière.
Retour en détail sur la mise en place de ce piratage et le mode opératoire des hackeurs
Comme évoqué précédemment, c’est au cours du week-end dernier qu’un groupe d’individus malveillants et doués de connaissances informatiques poussées ont réussi à trouver une faille de sécurité dans le pool de liquidité iBTC-aUSD. Ce dernier venait justement d’être mis en place par le réseau Acala, mais la clique de hackers a exploiter une faille afin d’émettre plus d’un milliard de jetons aUSD, qui est le stablecoin d’Acala.
Acala Network a confirmé le piratage et a également déclaré via un message publié sur Twitter que le problème avait été identifié. Les responsables du réseau soulignent :
« La mauvaise configuration a été corrigée et les adresses de portefeuille qui ont reçu l’aUSD émis par erreur ont été identifiées, avec un suivi des activités en chaîne concernant ces adresses en cours. Sur la base d’un traçage préliminaire en chaîne, plus de 99 % des aUSD émis par erreur restent sur la parachain Acala, une petite proportion d’aUSD émis par erreur étant échangés contre ACA et d’autres jetons sur la parachain Acala ».
We have identified the issue as a misconfiguration of the iBTC/aUSD liquidity pool (which went live earlier today) that resulted in error mints of a significant amount of aUSD
1/— Acala (@AcalaNetwork) August 14, 2022
Victor Young a réagi face à l’incident et décrit l’infrastructure de Polkadot comme étant sécurisée, mais que ce n’est cependant pas le cas pour des protocoles comme Acala qui se sont construits petit à petit sur la plateforme. En outre, le fondateur et architecte réseau de la startup crypto Analog poursuit et déclare à ce sujet :
« Bien que la cause exacte de l’attaque n’ait pas encore été déterminée, les premières investigations pointent vers une faille dans un contrat intelligent gérant le pool de liquidité iBTC/aUSD que les pirates ont compromis pour frapper des jetons aUSD ».
Des problèmes de sécurité de plus en plus fréquent sur l’écosystème crypto ?
En janvier 2022, le fondateur d’Ethereum Vitalik Buterin avait mis en garde contre les risques de sécurité de l’écosystème crypto, notamment en ce qui concerne les liés ponts inter-chaînes. Il faut garder à l’esprit que les ponts inter-chaînes sont considérés par les pirates comme des prises de choix et cela en raison de leur vulnérabilité.
Précédemment, les trois plus grosses attaques dans le secteur de la DeFi au cours de l’année passée ont toutes visées des ponts inter-chaînes, et cela s’explique car les mécanismes de fonctionnement de ces derniers en font par nature des cibles vulnérables aux piratages.
Au cours du deuxième trimestre de l’année 2022, les analystes ont observé que plus de 670 millions de dollars ont été piratés vis des failles de sécurité diverses dans des protocoles crypto. La plateforme Immunefi spécialisée dans la sécurité informatique et le bug bounty, à savoir une technique qui permet aux éditeurs de logiciels de corriger les failles de leurs applications en récompensant les utilisateurs qui signalent des bugs, annonce que le chiffre des piratages crypto est en hausse de plus de 50 % par rapport à la même période de l’année 2021. A l’époque la valeur totale des piratages atteignait alors les 440 millions de dollars.
Pour en savoir plus sur les piratages du secteur crypto, n’hésitez pas à consulter notre précédent article sur le sujet.
Laura Dubois
