Wormhole, une plateforme permettant des transactions entre différentes blockchain, perd 320 millions de dollars d'éther
et propose aux hackers une prime de 10 millions de dollars en échange des fonds volés

Des cybercriminels ont volé plus de 323 millions de dollars en cryptomonnaie en exploitant une vulnérabilité dans Wormhole, un service Web qui permet des transactions entre différentes blockchain. Wormhole permet aux utilisateurs de déplacer des jetons numériques liés à une blockchain vers une autre blockchain ; ces ponts blockchain sont particulièrement utiles pour les services de finance décentralisée (DeFi) qui fonctionnent sur deux chaînes ou plus, souvent avec des protocoles, des règles et des processus très différents. DeFiYield tient une liste des attaques contre les plateformes DeFi, qui classe l'attaque contre Wormhole comme la deuxième plus importante, juste derrière l'attaque contre Poly Network (602 millions de dollars de perte). Fin janvier, la plateforme de DeFI Qubit Finance a annoncé que son protocole a été exploité par un pirate informatique. Celui-ci a fini par voler 206 809 tokens Binance du protocole QBridge de Qubit, soit une valeur de plus de 80 millions de dollars au moment des faits. L’équipe de Qubit a offert une prime de 250 000 dollars à ce dernier en échange des fonds volés.

Nom : classement.png Affichages : 1281 Taille : 35,0 Ko

Comprendre le blockchain brigde

L'un des plus gros problèmes de la blockchain était l'incapacité de travailler ensemble. Bien que fluide et quelque peu efficace en tant qu'entité unique, chaque blockchain est limitée par les murs de son propre domaine. Le plus souvent, cela peut entraîner des coûts de transaction élevés et une congestion.

Les blockchain bridge viennent alors apporter une interopérabilité. En effet, ces ponts résolvent ce problème en permettant les transferts de jetons, les contrats intelligents et l'échange de données, ainsi que d'autres commentaires et instructions entre deux plateformes indépendantes. Des projets comme Polkadot, Cosmos ou Avalanche vont alors permettre aux blockchain de communiquer entre elles.

Ainsi, une telle infrastructure va vous permettre par exemple d’envoyer vos Ethers (ETH) qui se trouve sur la blockchain Ethereum vers la Binance Smart Chain (BSC).

Lors de ce changement de blockchain, vos Ethers seront en quelque sorte copiés vers la blockchain de destination. Généralement, ces copies sont précédées par le signe w comme Wrapped (wETH par exemple). Ils ont en principe la même valeur (selon l’offre et la demande) mais ne sont pas la cryptomonnaie réelle.

Le but d’un bridge est de pouvoir déplacer des actifs numériques d’une blockchain à une autre en fonction de votre envie ou vos besoins.

L’avantage des bridges va vous permettre de changer de blockchain si jamais celle-ci est trop lente ou coûte trop coûteuse en termes de frais

Des pirates ont volé des cryptoactifs d'une valeur de 324 millions de dollars

Wormhole, l'un des plus grands ponts entre Solana et d'autres blockchains, a été dépouillé d'environ 320 millions de dollars, soit 120 000 éthers, ce qui en fait le deuxième piratage DeFi le plus important à ce jour.

Le protocole d'interopérabilité a confirmé en avoir été victime via un tweet.

Nom : un.png Affichages : 1193 Taille : 23,5 Ko

« Le réseau Wormhole a été dépouillé de 120k wETH. ETH sera ajouté au cours des prochaines heures pour garantir que wETH est soutenu à 1:1. Plus de détails à venir sous peu. Nous nous efforçons de rétablir rapidement le réseau. Merci pour votre patience ».

Plus tôt avant ce tweet, le site de Wormhole était inaccessible et les visiteurs pouvaient lire que la plateforme opérait une maintenance.

Wormhole est un protocole qui permet aux utilisateurs de relier les actifs à travers les blockchains. Il a une valeur totale verrouillée de plus d'un milliard de dollars et prend en charge six blockchains : Terra, Solana, Ethereum, Binance Smart Chain, Avalanche et Polygon. Lorsqu'un utilisateur transfère des actifs d'une blockchain à une autre, le pont intervient pour verrouiller la transaction et créer une version enveloppée, telle que l'éther enveloppé (wETh), dans sa chaîne finale.

« Pour autant que nous puissions le dire maintenant, seul wETH a été affecté, aucun autre jeton », a noté un administrateur de Wormhole, qui répond au pseudonyme d231d, dans son groupe Telegram. L'administrateur a ajouté que le pont du portail était en panne et a demandé aux membres de ne pas entamer d'autres transactions.

Certains utilisateurs ont signalé des transactions bloquées, mais l'administrateur a déclaré que « dès que le réseau sera restauré, vous pourrez échanger les jetons que vous avez envoyés dans le pont ».

Wormhole est un « pont », essentiellement un moyen de déplacer des actifs cryptographiques entre différentes blockchain. Plus précisément, Wormhole dispose d'un ensemble de « tuteurs » qui approuvent les transferts entre les chaînes. C'est un peu plus compliqué que ça en pratique, mais c'est l'idée générale.

Mais que se passe-t-il si vous ne pouvez pas faire confiance au tuteur ? Une longue analyse publiée sur Twitter quelques heures après le vol a révélé que la plateforme principale de Wormhole n'avait pas correctement validé ses comptes de tuteurs. En créant un faux compte de signature, le ou les pirates à l'origine du vol ont frappé 120 000 pièces ETH, d'une valeur d'environ 323 millions de dollars au moment des transactions, sur la chaîne Solana. Les pirates ont ensuite effectué une série de transferts qui ont conduit au dépôt d'environ 93 750 jetons dans un portefeuille privé stocké sur la chaîne Ethereum, a déclaré la société d'analyse de blockchain Elliptic.

Les pirates ont réussi le vol en utilisant une transaction antérieure pour créer un ensemble de signatures, qui est un type d'informations d'identification. Avec cela, ils ont créé un VAA, ou approbation d'action de valideur, qui est essentiellement un certificat nécessaire pour approuver les transactions.

« Une fois qu'ils avaient le faux "jeu de signatures", il était trivial de l'utiliser pour générer un VAA valide et déclencher une frappe non autorisée sur leur propre compte », a écrit @samczsun, le pseudo Twitter d'un employé de la société d'investissement Paradigm. « Le reste appartient à l'histoire : Wormhole n'a pas correctement validé tous les comptes d'entrée, ce qui a permis à l'attaquant d'usurper les signatures des tuteurs et de frapper 120 000 ETH sur Solana, dont 93 750 ont été renvoyés à Ethereum ».

Wormhole a indiqué avoir réussi à colmater la faille.

Wormhole propose aux hackers de retourner les crypto contre compensation financière

Wormhole a envoyé un message aux hackers pour leur demander de rendre l’argent, en échange d’une récompense de 10 millions de dollars :

« Ici le Wormhole Deployer : ».

« Nous avons remarqué que vous pouviez exploiter la vérification Solana VAA et frapper des jetons. Nous aimerions vous proposer un accord whitehat et vous offrir une prime de bogue de 10 millions de dollars pour que vous nous communiquiez les détails de l'exploit et vous nous rendiez le wETH que vous avez frappé. Vous pouvez nous contacter à contact@certus.one ».

Nom : deployer.png Affichages : 1192 Taille : 25,6 Ko

Un deal peu avantageux en apparence, mais plutôt alléchant en réalité. Ces 10 millions seraient obtenus de manière légale et feraient des braqueurs des hackers éthiques (« white hat »). Même si le butin dérobé est plus conséquent, ils ne peuvent pas faire grand-chose de tous ces jetons sans être surveillés, et potentiellement arrêtés.

Si la plateforme ne précise pas la suite de l'affaire avec les hackers, elle indique avoir réussi à colmater la faille et récupérer les sous.

Nom : recupere.png Affichages : 1171 Taille : 16,5 Ko

De la complexité dans le code des ponts

Le piratage de Wormhole a pris par surprise quelques experts en sécurité de la blockchain. Le défi d'écrire un logiciel qui interagit avec plusieurs chaînes de manière sûre n'est pas trivial, et seul un nombre limité d'outils et de techniques peuvent tester la solidité du code.

« La construction de ponts hérite de toute la complexité de chaque blockchain », a déclaré Dan Guido, PDG de la société de sécurité Trail of Bits. « Ils semblent d'une simplicité trompeuse, mais ils font partie des codes les plus difficiles à écrire dans la réalité ».

Pour compliquer la difficulté, le nouveau hack est arrivé peu de temps après qu'une modification récente ait été apportée à certains des logiciels impliqués.

« Le pont ne s'attendait pas à ce que les utilisateurs puissent soumettre un ensemble de signatures, car le changement pour faciliter cela était récent dans l'environnement d'exécution de Solana », a expliqué Guido. « En soumettant ses propres données de signature, un attaquant a court-circuité une vérification de signature qui lui a permis de s'approprier une grande quantité de jetons ».

Dane Sherret, architecte de solutions au service de rapport de bogues HackerOne, l'a expliqué ainsi :

« Il existe une fonction verify_signatures qui est censée prendre les signatures cryptographiques des tuteurs et les regrouper. Malgré son nom, verify_signatures ne se vérifie pas réellement, il utilise le programme natif secp256k1 sur Solana. La version du programme solana que Wormhole utilisait ne vérifiait pas correctement l'adresse, ce qui permettait au pirate de créer un compte qui pouvait contourner toutes les vérifications.

« Grâce aux étapes ci-dessus, le pirate a pu contourner les vérifications de signature et transférer l'ETH vers Ethereum, ce qui signifie que pendant un certain temps, une partie du wETH [l'ETH enveloppé sur Solana] n'était en fait soutenu par rien.

« Ce piratage m'est difficile à comprendre, car il a été lancé sur la blockchain Solana, qui utilise le langage de programmation Rust pour ses contrats intelligents. Comme Ethereum utilise le langage de programmation Solidity pour ses contrats intelligents, c'est un exemple de la façon dont de nouveaux réseaux, avec des particularités et des langages différents, se parlent désormais, ce qui rend la sécurité d'autant plus difficile ».

Les applications de transactions inter-blockchain présentent également d'autres risques. Dans un billet rédigé le mois dernier, le cofondateur d'Ethereum, Vitalik Buterin, a averti que « les limites de sécurité fondamentales des ponts » les rendaient vulnérables à une classe différente d'exploit de blockchain connue sous le nom d'attaque à double dépense. Dans un système de monnaie numérique, la double dépense (en anglais, double-spending) est un acte frauduleux dans lequel le même jeton numérique est dépensé plus d'une fois. Contrairement à la monnaie physique, un jeton numérique consiste en un fichier numérique qui peut être dupliqué ou falsifié

La blockchain doit-elle devenir plus sécurisée ?

Blockchain est un logiciel qui, comme d'autres, peut être sensible à un code erroné, appelé bogue, qui peut être exploité, comme nous l'avons vu avec Wormhole.

« Les attaques de haut niveau, telles que celle-ci, renforcent l'importance de l'écosystème cryptographique plus large donnant la priorité à un état d'esprit axé sur la sécurité et restant vigilant », a déclaré Nicholas Percoco, chief security officer chez Kraken, une plateforme d'échange de cryptomonnaie et une banque basés aux États-Unis. « Les criminels recherchent constamment de nouveaux vecteurs d'attaque et vulnérabilités, ce qui signifie que les protocoles de sécurité doivent être constamment investis et mis à jour. Les protocoles avancent », a-t-il déclaré.

En raison des risques, le docteur Merav Ozair, experte blockchain et professeur FinTech à la Rutgers Business School dans le New Jersey aux États-Unis, a déclaré qu'elle préconisait qu'il y ait un mécanisme qui audite toutes les applications avant leur lancement complet. Ce mécanisme existe déjà dans les systèmes centralisés comme dans les applications d'Apple.

« L'écosystème de la blockchain, s'il souhaite évoluer et devenir mainstream, doit comprendre comment un mécanisme d'audit peut être mis en œuvre dans des applications ou des plateformes décentralisées », a-t-elle déclaré. « Cela peut être fait et nécessite beaucoup de réflexion et de collaboration des membres de cet écosystème ».

Sources : Wormhole, détails techniques (1, 2), message aux hackers, DeFiYield

Voir aussi :

Qubit Finance se fait voler 80 millions de dollars en crypto et propose une prime de 250 000 dollars au hacker en échange des fonds volés
UK : les grandes entreprises de la tech devraient rembourser les victimes d'escroqueries en ligne dès lors que des cybercriminels attirent leurs victimes par des pubs diffusées sur leurs plateformes