La plus grande attaque en 2022 jusqu’à présent a vu un attaquant « emprunter » 80 millions de dollars contre 185 millions de dollars de garanties volées.
Une faille dans le protocole de finance décentralisée (DeFi) Qubit Finance a permis à un pirate de repartir avec 80 millions de dollars de crypto-monnaie volée hier.
La faille spécifique du contrat intelligent qui a permis l’attaque se trouvait dans X-Bridge, un pont inter-chaînes qui facilite les échanges de jetons entre Ethereum et Binance Smart Chain.
Cette faille a permis à l’attaquant de saisir des données malveillantes sans déposer d’Ethereum et de recevoir en retour 185 millions de dollars en Qubit xETH (un actif qui représente l’Ethereum ponté sur la Smart Chain de Binance).
L’attaquant a ensuite utilisé cet argent comme garantie pour « emprunter » environ 80 millions de dollars de crypto-monnaies auprès de divers pools de prêts.
La répartition complète des actifs volés s’élève à 15 688 wETH (37,6 millions de dollars), 767 BTC-B (28,5 millions de dollars), environ 9,5 millions de dollars en stablecoins et 5 millions de dollars en jetons CAKE, BUNNY et MDX, selon la société d’audit CertiK.
Étant donné que l’attaquant n’a jamais converti sa « garantie » en qXETH, le coût total du vol pour Qubit Finance est de 80 millions de dollars.
Qubit offre une prime en crypto-monnaie
Qubit Finance a publié un billet de blog aujourd’hui avec une analyse détaillée de l’attaque dans son intégralité.
Sur la page Twitter de Qubit, l’équipe a également tweeté qu’elle était « heureuse d’avoir une conversation avec [l’attaquant] ». Elle a joint une capture d’écran indiquant que Qubit est « prête à offrir à [l’attaquant] la prime maximale pour l’exploit révélé » afin de « minimiser l’impact sur la communauté ».
[Notre message à l’exploiteur]
L’équipe est heureuse d’avoir une conversation avec vous.https://t.co/4SxtuD6pQY pic.twitter.com/V9bICKvWda– Qubit Finance (@QubitFin) 28 janvier 2022
Les analystes de sécurité blockchain Peckshield ont tweeté vendredi matin qu’ils avaient audité le protocole de prêt de Qubit Finance et qu’ils fourniraient bientôt plus de détails.
Il semble que le QBridge de @QubitFin ait été piraté pour monnayer une énorme quantité de xETH en garantie et vider les fonds communs d’environ 80 millions de dollars. Veuillez noter que nous avons audité le prêt Qubit, pas le QBridge ! Plus à venir…
– PeckShield Inc. (@peckshield) January 27, 2022
Bien que cette attaque soit la plus importante de l’année, ce n’est pas le premier hack cross-chain de 2022.
La semaine dernière, un pirate en chapeau blanc a volé 1,73 million de dollars à Multichain avant de rendre 900 000 dollars et d’empocher le reste sous forme de prime.
À mesure que différentes blockchains deviennent populaires et que l’activité cross-chain se développe parallèlement, des projets tels que Qubit et Multichain devraient devenir des cibles de choix pour les pirates informatiques.
