Qubit Finance se fait voler 80 millions de dollars en crypto et propose une prime de 250 000 dollars au hacker

En échange des fonds volés

La plateforme de DeFI Qubit Finance a annoncé que son protocole a été exploité par un pirate informatique. Celui-ci a fini par voler 206 809 tokens Binance du protocole QBridge de Qubit, soit une valeur de plus de 80 millions de dollars au moment des faits. DeFiYield tient une liste des attaques contre les plateformes DeFi, qui classe l'attaque contre Qubit comme la septième plus importante après Compound Labs (89 millions de dollars de perte), BadgerDAO (120 millions de dollars de perte), Cream Finance (130 millions de dollars de perte), Boy X Highspeed (139 millions de dollars de perte), Vulcan Forged (140 millions de dollars de perte) et Poly Network (602 millions de dollars de perte). Cette liste ne comprend pas les attaques contre Grim Finance et AscendEX.

Qubit Bridge est un pont interchaînes connecté à Ethereum qui permet aux utilisateurs de déplacer des WETH du réseau principal d’Ethereum vers les contrats intelligents de Qubit basé sur la Binance Smart Chain (BSC). Ils peuvent de cette façon frapper (mint) des xETH qui sont notamment utilisés comme garantie de prêt sur le protocole. Les contrats intelligents sont des protocoles informatiques qui facilitent, vérifient et exécutent la négociation ou l'exécution d'un contrat, ou qui rendent une clause contractuelle inutile (car rattachée au contrat intelligent). Les contrats intelligents ont généralement une interface utilisateur et émulent la logique des clauses contractuelles.

Jeudi, un pirate a exploité une vulnérabilité sur le Qubit Bridge pour frapper des xETH sans déposer aucun WETH. En utilisant les xETH comme garantie, le pirate a procédé au siphonnage de 206 809 BNB de Qubit Finance, soit 80 millions de dollars au moment des faits. L’intégralité de ce butin étant visible sur l’adresse du pirate, l’équipe de Qubit a offert une prime de 250 000 dollars à ce dernier en échange des fonds volés.

« On dirait que QBridge de @QubitFin a été piraté pour créer beaucoup de garanties xETH et drainer 80 millions de dollars de fonds communs », a twitté PeckShield qui a affirmé avoir audité « le fournisseur de prêt Qubit, pas le QBridge ». Une nouvelle qui a ensuite été confirmée sur Twitter par le fournisseur de prêts.

L’adresse d’attaque a été identifiée comme étant : 0xd01ae1a708614948b2b5e0b7ab5be6afa01325c7. Les actifs volés ont été remplacés par 206,809.69 BNB. L’équipe de Qubit a assuré sur twitter qu’elle continuait « de surveiller l’exploiteur et de surveiller les actifs concernés ». Dans le même temps, Qubit a proposé au pirate de lui verser 250 000 $ en échange de la rétrocession des sommes subtilisées :

« Nous vous proposons de négocier directement avec nous avant de prendre toute autre mesure. L'exploitation et la perte de fonds ont un effet profond sur des milliers de personnes réelles. Si la prime maximale ne correspond pas à ce que vous recherchez, nous sommes ouverts à une conversation. Essayons de trouver une solution », a écrit l'équipe financière de Qubit qui a partagé les échanges sur Twitter.


Dans un billet de blog, la société a expliqué que son protocole Qubit « a fait l'objet d'une exploitation sur la fonction de dépôt QBridge » :

« L'attaquant a appelé la fonction de dépôt QBridge sur le réseau Ethereum, qui appelle la fonction de dépôt QBridgeHandler. QBridgeHandler devrait recevoir le token WETH, qui est le tokenAddress d'origine, et si la personne qui a effectué le tx n'a pas de token WETH, le transfert ne devrait pas avoir lieu

« tokenAddress.safeTransferFrom(depositer, address(this), amount)

« Dans le code ci-dessus, tokenAddress est 0, donc safeTransferFrom n'a pas échoué et la fonction de dépôt s'est terminée normalement quelle que soit la valeur du montant.

« De plus, tokenAddress était l'adresse WETH avant l'ajout de DepositETH, mais lorsque DepositETH est ajouté, il est remplacé par l'adresse zéro qui est le tokenAddress de ETH.

« En résumé, la fonction de dépôt est une fonction qui n'aurait pas dû être utilisée après le nouveau développement de depositETH, mais elle est restée dans le contrat ».

La société a déclaré avoir pris des mesures, notamment :

• l'équipe continue de suivre l'exploiteur et de surveiller les actifs concernés ;
• l'équipe a contacté l'exploiteur pour offrir la prime maximale fixée par notre programme ;
• l'équipe coopère avec des partenaires de sécurité et de réseau, dont Binance ;
• les fonctions d'approvisionnement, d'échange, d'emprunt, de remboursement, de relais et de rachat de relais sont désactivées jusqu'à nouvel ordre. La réclamation est disponible.

« Nous tenons à remercier toutes les personnes, les partenaires de sécurité et les projets qui ont tendu la main et aidé avec des informations. Nous continuons à enquêter et sommes en communication avec Binance. D'autres mises à jour et un rapport complet seront partagés dès qu'ils seront disponibles ».

Pour le moment aucune information concernant l’issue des négociations entre Qubit Finance et le pirate n'a filtré. L’équipe du protocole n’a également pas fait savoir s’il comptait rembourser ou indemniser les utilisateurs pour les fonds perdus à cause du piratage.

La société de sécurité blockchain CertiK a publié une explication détaillée de la façon dont l'attaque s'est produite. Elle suit les fonds volés à mesure que les pirates les déplacent vers différents comptes.

Le septième piratage le plus important en termes de perte

Selon les données de DeFi Yield, l’exploit de Qubit Finance semble être le septième piratage le plus important du protocole DeFi en termes de valeur des fonds volés. Celui-ci a engendré une chute de 27 % de Qubit, son jeton natif. Depuis le lancement de la Binance Smart Chain en septembre 2020, le réseau est devenu tristement célèbre pour la quantité de hacks, d’exploits et de rug pulls qui ont eu lieu sur elle.

En 2021, plusieurs projets DeFi sur de la BSC ont subi des hacks ou des exploits majeurs. Parmi les plus graves, nous pouvons notamment citer le piratage de 31 millions de dollars de Meerkat Finance en mars 2021, un exploit d’Uranium Finance qui a coûté 50 millions de dollars aux utilisateurs du protocole en avril, et l’attaque de 88 millions de dollars sur Venus Finance le mois suivant.

La voie de la négociation empruntée par Qubit Finance n'est pas une première : elle avait déjà été empruntée il y a quelques mois par Poly Networks.

Poly Network est une plateforme de finance décentralisée (DeFi) qui permet d'échanger des jetons entre différentes blockchains. Le fondateur du projet de blockchain chinois Neo a lancé Poly Network en partenariat...