La plateforme d’échange de crypto-monnaies décentralisée Bancor n’est actuellement plus accessible. Ses équipes ont déclaré avoir été victimes de l’exploitation d’une « faille de sécurité », qui a conduit au vol de l’équivalent de plus de 13 millions de dollars de tokens.
Lundi soir, la startup Bancor a publié sur Twitter un communiqué au sujet d’un piratage dont elle a été victime :
Here is the latest update on the recent security breach : pic.twitter.com/JroypFvBri
— Bancor (@Bancor) 9 juillet 2018
Ce tweet a été précédé d’un autre, publié ce lundi vers 13 heures, dans lequel Bancor – l’une des crypto-plateformes d’échange décentralisées les plus populaires – indiquait avoir été victime de l’exploitation d’une faille de sécurité.
This morning (CEST) Bancor experienced a security breach. No user wallets were compromised. To complete the investigation, we have moved to maintenance and will be releasing a more detailed report shortly. We look forward to being back online as soon as possible.
— Bancor (@Bancor) 9 juillet 2018
Trois heures plus tôt, la startup s’était contentée d’annoncer que la Bancor Web App était « hors ligne pour des raisons de maintenance ».
Bancor Web App is currently down for maintenance.
— Bancor (@Bancor) 9 juillet 2018
Comble de l’ironie, Bancor s’était félicitée dimanche dernier des déclarations de Vitalik Buterin, qui avait profité d’un entretien pour vanter les mérites des plateformes d’échange décentralisées.
« Burning in hell » is a bit extreme, but we do agree with @VitalikButerin that #decentralized solutions — such as Bancor — are the future of #blockchain and value exchange. https://t.co/XLqtc82H19 pic.twitter.com/ZuKKbKFwmM
— Bancor (@Bancor) 8 juillet 2018
Que s’est-il réellement produit ?
Si les équipes de Bancor ont indiqué que « les détails de cette attaque étaient toujours en train d’être étudiés », elles ont apporté quelques précisions au sujet des crypto-monnaies qui ont pu être subtilisées lors de cet incident.
Trois actifs numériques sont impliqués : 24 984 ETHs (~ 12,5 millions de dollars), 229 356 645 NPXSs (~ 1 million de dollars), ainsi que 3 200 000 BNTs (~ 10 millions de dollars).
Les BNTs concernés ont pu être gelés par les équipes de Bancor, qui se sont appuyées sur un mécanisme du Bancor Protocol « qui a permis d’empêcher le voleur de s’enfuir avec les tokens dérobés ». Concernant les deux autres actifs, la startup a indiqué qu’elle travaillait avec plusieurs dizaines d’autres plateformes d’échange pour pouvoir les tracer et tenter de « compliquer la tâche du voleur ».
Bancor a précisé que le portefeuille détourné par le pirate devait à l’origine servir à « mettre à jour certains smart contracts ».
Les usagers n’ont pas été impactés
Dans la nuit de lundi à mardi, Bancor a publié un autre tweet en insistant sur le fait que les fonds de ses utilisateurs n’avaient pas été « compromis durant cette attaque ». La raison est simple : la plateforme de trading suisse ne conserve aucune crypto-monnaie pour le compte de ses usagers, contrairement à ses concurrentes centralisées, comme Binance ou Bittrex.
To reiterate, no user wallets have been compromised in the attack.
— Bancor (@Bancor) 9 juillet 2018
Le token BNT plonge
Sans surprise, la valeur du Bancor Network Token (BNT) a lourdement chuté suite à cette annonce. L’actif est ainsi passé de 3,16 dollars dimanche soir à 2,41 dollars lors de la rédaction de cet article, enregistrant ainsi une baisse de près de 25%.
Ajoutons qu’au-delà des préoccupations relatives à la sécurité, cette chute pourrait également être attribuée aux inquiétudes liées au fait que la plateforme ne serait finalement pas aussi décentralisée qu’elle le prétend.
- « decentralized exchange » hacked
– freeze funds
– « ok guys could you please stop trading »
– discretionary control over all BNT tokens
– literally named after a keynesian conceptfantastic work guys ???????
— nic (@nic__carter) 9 juillet 2018
We don’t have all the details yet, but it sounds like the centralized backdoors in the contracts might’ve enabled the attack in the first place : “A wallet used to upgrade some smart contracts was compromised”. Too soon to tell though.
— Udi Wertheimer ? [#reckless] (@udiWertheimer) 9 juillet 2018
Référence : CryptoCoinSpy