Un bug dans la sécurité a provoqué le cinquième plus important vol cryptographique à ce jour. Quelque 325 millions de dollars de la monnaie numérique Solana ont en effet été dérobés sur la plate-forme Wormhole.
L’attaque a eu lieu le 2 février, et Wormhole l’a entre-temps confirmé. L’entreprise a aussi promis une rançon de dix millions de dollars à l’intrus, s’il acceptait de rendre les fonds dérobés. Le piratage semble être dû à un bug dans Github. Wormhole avait publié sur son Github un correctif à une faille, mais qui n’avait cependant pas encore été implémenté dans le projet proprement dit. Le bug de sécurité a donc été rapidement abusé.
Pont
Wormhole n’est pas une plate-forme de vente traditionnelle de crypto-espèces, mais prévoit une sorte de pont reliant diverses chaînes de blocs. L’entreprise fournit un système de caution où l’utilisateur peut déposer un seul type de monnaie numérique, pour ensuite acquérir des services dans un autre type d’espèce numérique. Lors de l’attaque de cette semaine, l’intrus a réussi à falsifier une signature pour une transaction par laquelle il a pu créer 120.000 wETH. Il s’agit là d’un équivalent temporaire enveloppé (‘wrapped’) d’Ethereum sur la chaîne de blocs Solana. Sa valeur est de 325 millions de dollars environ (soit 284 millions d’euros après conversion).
L’agresseur a ensuite échange ces wETH contre 250 millions de dollars de ‘vrai’ Ethereum qu’il vira sur son propre compte. Voilà comment il parvint à dérober une grande quantité d’Ethereum que Wormhole gardait en caution dans ses coffres, afin de garantir les transactions sur la chaîne de blocs Solana.
Faille Github
Pour falsifier cette signature originale, l’agresseur exploita une faille pour laquelle Wormhole disposait d’une solution depuis le 13 janvier déjà. Ce correctif fut également publié sur le référentiel Github de l’entreprise, mais il n’avait clairement pas encore été directement implémenté dans l’environnement de production.
La faille aurait entre-temps été colmatée pour de bon, et Wormhole indique qu’elle va ajouter un supplément d’Ethereum à ses fonds de caution pour continuer de proposer le service. On ignore actuellement encore la provenance de cet argent.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici