Suite à l’exploitation d’une « faille de sécurité », la plateforme d’échange décentralisée Bancor se fait dérober plus de 13 millions de dollars de tokens

La pla­te­forme d’é­change de cryp­to-mon­naies décen­tra­li­sée Ban­cor n’est actuel­le­ment plus acces­sible. Ses équipes ont décla­ré avoir été vic­times de l’ex­ploi­ta­tion d’une « faille de sécu­ri­té », qui a conduit au vol de l’é­qui­valent de plus de 13 mil­lions de dol­lars de tokens.

Lun­di soir, la star­tup Ban­cor a publié sur Twit­ter un com­mu­ni­qué au sujet d’un pira­tage dont elle a été victime :

Ce tweet a été pré­cé­dé d’un autre, publié ce lun­di vers 13 heures, dans lequel Ban­cor – l’une des cryp­to-pla­te­formes d’é­change décen­tra­li­sées les plus popu­laires – indi­quait avoir été vic­time de l’ex­ploi­ta­tion d’une faille de sécurité.

Trois heures plus tôt, la star­tup s’é­tait conten­tée d’an­non­cer que la Ban­cor Web App était « hors ligne pour des rai­sons de main­te­nance ».

Comble de l’i­ro­nie, Ban­cor s’é­tait féli­ci­tée dimanche der­nier des décla­ra­tions de Vita­lik Bute­rin, qui avait pro­fi­té d’un entre­tien pour van­ter les mérites des pla­te­formes d’é­change décentralisées.

Que s’est-il réellement produit ?

Si les équipes de Ban­cor ont indi­qué que « les détails de cette attaque étaient tou­jours en train d’être étu­diés », elles ont appor­té quelques pré­ci­sions au sujet des cryp­to-mon­naies qui ont pu être sub­ti­li­sées lors de cet incident.

Trois actifs numé­riques sont impli­qués : 24 984 ETHs (~ 12,5 mil­lions de dol­lars), 229 356 645 NPXSs (~ 1 mil­lion de dol­lars), ain­si que 3 200 000 BNTs (~ 10 mil­lions de dollars).

Les BNTs concer­nés ont pu être gelés par les équipes de Ban­cor, qui se sont appuyées sur un méca­nisme du Ban­cor Pro­to­col « qui a per­mis d’empêcher le voleur de s’en­fuir avec les tokens déro­bés ». Concer­nant les deux autres actifs, la star­tup a indi­qué qu’elle tra­vaillait avec plu­sieurs dizaines d’autres pla­te­formes d’é­change pour pou­voir les tra­cer et ten­ter de « com­pli­quer la tâche du voleur ».

Ban­cor a pré­ci­sé que le por­te­feuille détour­né par le pirate devait à l’o­ri­gine ser­vir à « mettre à jour cer­tains smart contracts ».

Les usagers n’ont pas été impactés

Dans la nuit de lun­di à mar­di, Ban­cor a publié un autre tweet en insis­tant sur le fait que les fonds de ses uti­li­sa­teurs n’a­vaient pas été « com­pro­mis durant cette attaque ». La rai­son est simple : la pla­te­forme de tra­ding suisse ne conserve aucune cryp­to-mon­naie pour le compte de ses usa­gers, contrai­re­ment à ses concur­rentes cen­tra­li­sées, comme Binance ou Bit­trex.

Le token BNT plonge

Sans sur­prise, la valeur du Ban­cor Net­work Token (BNT) a lour­de­ment chu­té suite à cette annonce. L’ac­tif est ain­si pas­sé de 3,16 dol­lars dimanche soir à 2,41 dol­lars lors de la rédac­tion de cet article, enre­gis­trant ain­si une baisse de près de 25%.

Ajou­tons qu’au-delà des pré­oc­cu­pa­tions rela­tives à la sécu­ri­té, cette chute pour­rait éga­le­ment être attri­buée aux inquié­tudes liées au fait que la pla­te­forme ne serait fina­le­ment pas aus­si décen­tra­li­sée qu’elle le pré­tend.

Réfé­rence : Cryp­to­CoinS­py