La plateforme de DeFI Qubit Finance a annoncé que son protocole a été exploité par un pirate informatique. Celui-ci a fini par voler 206 809 tokens Binance du protocole QBridge de Qubit, soit une valeur de plus de 80 millions de dollars au moment des faits. DeFiYield tient une liste des attaques contre les plateformes DeFi, qui classe l'attaque contre Qubit comme la septième plus importante après Compound Labs (89 millions de dollars de perte), BadgerDAO (120 millions de dollars de perte), Cream Finance (130 millions de dollars de perte), Boy X Highspeed (139 millions de dollars de perte), Vulcan Forged (140 millions de dollars de perte) et Poly Network (602 millions de dollars de perte). Cette liste ne comprend pas les attaques contre Grim Finance et AscendEX.Qubit Bridge est un pont interchaînes connecté à Ethereum qui permet aux utilisateurs de déplacer des WETH du réseau principal d’Ethereum vers les contrats intelligents de Qubit basé sur la Binance Smart Chain (BSC). Ils peuvent de cette façon frapper (mint) des xETH qui sont notamment utilisés comme garantie de prêt sur le protocole. Les contrats intelligents sont des protocoles informatiques qui facilitent, vérifient et exécutent la négociation ou l'exécution d'un contrat, ou qui rendent une clause contractuelle inutile (car rattachée au contrat intelligent). Les contrats intelligents ont généralement une interface utilisateur et émulent la logique des clauses contractuelles.
Jeudi, un pirate a exploité une vulnérabilité sur le Qubit Bridge pour frapper des xETH sans déposer aucun WETH. En utilisant les xETH comme garantie, le pirate a procédé au siphonnage de 206 809 BNB de Qubit Finance, soit 80 millions de dollars au moment des faits. L’intégralité de ce butin étant visible sur l’adresse du pirate, l’équipe de Qubit a offert une prime de 250 000 dollars à ce dernier en échange des fonds volés.
« On dirait que QBridge de @QubitFin a été piraté pour créer beaucoup de garanties xETH et drainer 80 millions de dollars de fonds communs », a twitté PeckShield qui a affirmé avoir audité « le fournisseur de prêt Qubit, pas le QBridge ». Une nouvelle qui a ensuite été confirmée sur Twitter par le fournisseur de prêts.
L’adresse d’attaque a été identifiée comme étant : 0xd01ae1a708614948b2b5e0b7ab5be6afa01325c7. Les actifs volés ont été remplacés par 206,809.69 BNB. L’équipe de Qubit a assuré sur twitter qu’elle continuait « de surveiller l’exploiteur et de surveiller les actifs concernés ». Dans le même temps, Qubit a proposé au pirate de lui verser 250 000 $ en échange de la rétrocession des sommes subtilisées :
« Nous vous proposons de négocier directement avec nous avant de prendre toute autre mesure. L'exploitation et la perte de fonds ont un effet profond sur des milliers de personnes réelles. Si la prime maximale ne correspond pas à ce que vous recherchez, nous sommes ouverts à une conversation. Essayons de trouver une solution », a écrit l'équipe financière de Qubit qui a partagé les échanges sur Twitter.
Dans un billet de blog, la société a expliqué que son protocole Qubit « a fait l'objet d'une exploitation sur la fonction de dépôt QBridge » :
« L'attaquant a appelé la fonction de dépôt QBridge sur le réseau Ethereum, qui appelle la fonction de dépôt QBridgeHandler. QBridgeHandler devrait recevoir le token WETH, qui est le tokenAddress d'origine, et si la personne qui a effectué le tx n'a pas de token WETH, le transfert ne devrait pas avoir lieu
« tokenAddress.safeTransferFrom(depositer, address(this), amount)
« Dans le code ci-dessus, tokenAddress est 0, donc safeTransferFrom n'a pas échoué et la fonction de dépôt s'est terminée normalement quelle que soit la valeur du montant.
« De plus, tokenAddress était l'adresse WETH avant l'ajout de DepositETH, mais lorsque DepositETH est ajouté, il est remplacé par l'adresse zéro qui est le tokenAddress de ETH.
« En résumé, la fonction de dépôt est une fonction qui n'aurait pas dû être utilisée après le nouveau développement de depositETH, mais elle est restée dans le contrat ».
La société a déclaré avoir pris des mesures, notamment :
- l'équipe continue de suivre l'exploiteur et de surveiller les actifs concernés ;
- l'équipe a contacté l'exploiteur pour offrir la prime maximale fixée par notre programme ;
- l'équipe coopère avec des partenaires de sécurité et de réseau, dont Binance ;
- les fonctions d'approvisionnement, d'échange, d'emprunt, de remboursement, de relais et de rachat de relais sont désactivées jusqu'à nouvel ordre. La réclamation est disponible.
« Nous tenons à remercier toutes les personnes, les partenaires de sécurité et les projets qui ont tendu la main et aidé avec des informations. Nous continuons à enquêter et sommes en communication avec Binance. D'autres mises à jour et un rapport complet seront partagés dès qu'ils seront disponibles ».
Pour le moment aucune information concernant l’issue des négociations entre Qubit Finance et le pirate n'a filtré. L’équipe du protocole n’a également pas fait savoir s’il comptait rembourser ou indemniser les utilisateurs pour les fonds perdus à cause du piratage.
La société de sécurité blockchain CertiK a publié une explication détaillée de la façon dont l'attaque s'est produite. Elle suit les fonds volés à mesure que les pirates les déplacent vers différents comptes.
Le septième piratage le plus important en termes de perte
Selon les données de DeFi Yield, l’exploit de Qubit Finance semble être le septième piratage le plus important du protocole DeFi en termes de valeur des fonds volés. Celui-ci a engendré une chute de 27 % de Qubit, son jeton natif. Depuis le lancement de la Binance Smart Chain en septembre 2020, le réseau est devenu tristement célèbre pour la quantité de hacks, d’exploits et de rug pulls qui ont eu lieu sur elle.
En 2021, plusieurs projets DeFi sur de la BSC ont subi des hacks ou des exploits majeurs. Parmi les plus graves, nous pouvons notamment citer le piratage de 31 millions de dollars de Meerkat Finance en mars 2021, un exploit d’Uranium Finance qui a coûté 50 millions de dollars aux utilisateurs du protocole en avril, et l’attaque de 88 millions de dollars sur Venus Finance le mois suivant.
La voie de la négociation empruntée par Qubit Finance n'est pas une première : elle avait déjà été empruntée il y a quelques mois par Poly Networks.
Poly Network est une plateforme de finance décentralisée (DeFi) qui permet d'échanger des jetons entre différentes blockchains. Le fondateur du projet de blockchain chinois Neo a lancé Poly Network en partenariat avec Ontology et Switcheo. La plateforme a fait l'objet d'une attaque au cours de laquelle les pirates ont exfiltré plus de 600 millions de dollars en cryptomonnaies. Le piratage concernait 270 millions de dollars d'ether, 250 millions de dollars sur la Smart Chain de Binance, 84 millions de dollars sur le réseau Polygon, ainsi qu'une poignée d'autres token moins importants en volume, comme Tether, Shiba Inu et Matic.
Les experts ont qualifié le vol du plus gros hold-up de la finance décentralisée de l'histoire. Poly Network avait tout de suite envoyé un message aux pirates à l'origine de l'attaque pour leur demander de restituer l'argent volé, prenant la peine de leur préciser qu'ils seraient poursuivis dans le cas contraire.
L'entreprise a déclaré que le pirate avait commencé par restituer les fonds, l'entreprise a proposé de lui verser une prime de bogue de 500 000 $ ainsi qu'un emploi au sein de sa structure en tant que Chief Security Advisor.
Dans un communiqué, l'entreprise a remercié le hacker (qu'il a surnommé white hat, jargon du secteur désignant un hacker éthique qui vise généralement à exposer les cybervulnérabilités) qui avait retourné la majeure partie des fonds pour « nous avoir aidés à améliorer la sécurité de Poly Network ». Poly Network a également déclaré qu'il espérait que « M. White Hat » contribuerait au développement continu du secteur de la blockchain en acceptant la récompense de 500 000 $, qu'il avait offerte dans le cadre des négociations autour du retour des jetons. La déclaration ne précisait pas la forme sous laquelle l'entreprise paierait les 500 000 $.
Pour sa part, le hacker a déclaré : « Je suis vraiment désolé que ma folle aventure ait impacté des personnes innocentes. J’ai essayé de ne pas faire trop de vagues dans le monde des cryptos, de ne pas toucher aux shitcoins (ndlr : les cryptomonnaies qui ont peu de valeur), de ne pas garder l’argent pour moi et de ne pas faire de dumping. Mais même les Avengers sont visés par des plaintes de civils. Je pense sérieusement à accepter la récompense de Poly Network et à commencer un fonds de compensation pour les victimes, même si c’est dur de trouver que vous avez perdu votre argent à cause de moi et pas à cause de paris risqués. […] ».
Sources : Qubit Finance (1, 2), PeckShield, CertiK (1, 2), DeFiYield
Et vous ?
Quelle lecture en faites-vous ? 
