Les audits de Balancer remis en question après une faille de plus de 100 millions de dollars

De nombreux traders de cryptomonnaies cherchent des réponses après qu'une attaque réussie sur l'échange décentralisé et market maker automatisé Balancer a entraîné le vol de plus de 100 millions de dollars d'actifs numériques.

Dans une publication sur X lundi pour informer les utilisateurs de l'exploitation, Balancer a déclaré que l'incident était « isolé aux V2 Composable Stable Pools et n'affecte pas Balancer V3 ni les autres pools Balancer ».

La plateforme a ajouté qu'elle avait « subi des audits approfondis par des entreprises de premier plan, et avait mis en place des primes de bugs pendant longtemps pour inciter les auditeurs indépendants », remettant en question la manière dont l'exploitation a pu être réalisée.

Source : Balancer

« Balancer a passé plus de 10 audits », a déclaré Suhail Kakar, responsable des relations développeurs chez TAC blockchain sur X. « Le coffre-fort a été audité trois fois séparément par différentes entreprises et a tout de même été piraté pour 110 millions de dollars. Ce secteur doit accepter que ‘audité par X’ ne signifie presque rien. Le code est complexe, la DeFi l'est encore plus. »

Selon une liste des audits Balancer V2 disponible sur GitHub, quatre sociétés de sécurité différentes — OpenZeppelin, Trail of Bits, Certora et ABDK — ont réalisé 11 audits des smart contracts de la plateforme, le plus récent concernant son stable pool par Trail of Bits en septembre 2022.

Cointelegraph a contacté OpenZeppelin pour un commentaire, mais n'avait pas reçu de réponse au moment de la publication. Un porte-parole de Trail of Bits a refusé de commenter l'exploitation « tant que la cause première n'est pas identifiée et que tous les forks de Balancer ne sont pas sécurisés ».

Related: ‘Attack on Bitcoin’ — Bitcoiners slam ‘legal threats’ in soft fork proposal

L'attaque, signalée tôt lundi, a entraîné le déplacement de plus de 116 millions de dollars d'Ether (ETH) staké — y compris StakeWise Staked ETH (OSETH), Wrapped Ether (WETH) et Lido wstETH (wSTETH) — vers un portefeuille nouvellement créé. Un analyste de recherche de Nansen a déclaré à Cointelegraph que l'incident de Balancer pourrait provenir de problèmes de smart contract qui comportaient un « contrôle d'accès défectueux permettant à l'attaquant d'envoyer une commande pour retirer des fonds ».

Le projet propose une récompense white hat de 20% pour le retour des fonds

Dans une note de transaction blockchain adressée aux attaquants lundi, l'équipe de Balancer a proposé une récompense white hat allant jusqu'à 20% des fonds volés si la totalité du montant était restituée dans les 48 heures suivant l'avis.

« [S]i vous choisissez de ne pas coopérer, nous avons engagé des spécialistes indépendants en criminalistique blockchain et coopérons activement avec plusieurs agences de maintien de l'ordre et partenaires réglementaires », a déclaré Balancer.

Au moment de la publication, le projet n'avait pas annoncé de mises à jour supplémentaires concernant la récompense ou les détails de l'exploitation.

Magazine : Solana vs Ethereum ETFs, Facebook’s influence on Bitwise: Hunter Horsley