Multichain : plus de 3 millions de dollars de tokens dérobés à cause d’une faille de sécurité

Des uti­li­sa­teurs de la pla­te­forme de « swap » Mul­ti­chain se sont fait voler au total plus de 3 mil­lions de dol­lars. Les pirates ont pro­fi­té d’une faille de sécu­ri­té non réso­lue concer­nant 6 tokens, appa­rue le 17 janvier.

3 mil­lions de dol­lars : c’est la somme que des pirates sont par­ve­nus à obte­nir en tirant pro­fit d’une faille cri­tique du pro­to­cole « cross-chain » Mul­ti­chain. Son exis­tence avait  été révé­lée le 17 jan­vier dans un article publié sur Medium. Mul­ti­chain avait alors appé­lé ses uti­li­sa­teurs à annu­ler les auto­ri­sa­tions accor­dées pour 6 tokens afin de pro­té­ger leurs actifs.

Mais cette annonce pour­rait avoir encou­ra­gé un plus grand nombre de pirates à ten­ter de tirer pro­fit de cette faille. L’un d’entre eux a déro­bé l’é­qui­valent de 1,43 mil­lion de dol­lars, tan­dis qu’un autre à pro­po­sé de rendre 80% des sommes qu’il avait dérobées.

Selon Tal Be’ery, le cofon­da­teur du wal­let Zen­Go, plus de 3 mil­lions de dol­lars ont été sub­ti­li­sés en l’es­pace de quelques jours :

Les six tokens concer­nés (WETH, PERI, OMT, WBNB, MATIC, AVAX) seraient tou­jours sujets à cette vulnérabilité.

Sur Twit­ter, de nom­breux inter­nautes ont repro­ché à Mul­ti­chain de ne pas avoir offert suf­fi­sam­ment d’in­for­ma­tions ou d’aide. Un uti­li­sa­teur ayant per­du 960 000 dol­lars d’ac­tifs a pro­po­sé 50 ETHs (envi­ron 150 000 dol­lars) à son hacker pour récu­pé­rer ses fonds :

Le 17 jan­vier, la socié­té avait indi­qué que la faille cri­tique avait été réso­lue le même jour. Pour­tant, le 19 jan­vier, elle avait à nou­veau deman­dé à ses uti­li­sa­teurs d’an­nu­ler leurs auto­ri­sa­tions pour les tokens concer­nés par cette faille. Mul­ti­chain a depuis blo­qué les com­men­taires sur ses der­niers tweets.

Sur Twit­ter, l’u­ti­li­sa­teur « Chain­Link­God » a confié qu’il était « incroya­ble­ment confus » vis-à-vis de la com­mu­ni­ca­tion de la pla­te­forme, tan­dis que « drarreg17 » a deman­dé à Mul­ti­chain ce qu’elle comp­tait faire afin de « com­pen­ser les pertes des uti­li­sa­teurs qui ont été affec­tés par l’ex­ploi­ta­tion de cette faille ».

Selon Tal Be’ery, la socié­té aurait contac­té le pro­prié­taire de l’a­dresse qui détient plus de 450 ETH (envi­ron 1,4 mil­lion de dol­lars) de fonds déro­bés depuis le 19 jan­vier, lui pro­po­sant un « bug boun­ty » –  ou plu­tôt une rançon :

Mul­ti­chain (ancien­ne­ment appe­lée Anys­wap) ambi­tionne de deve­nir la pla­te­forme de réfé­rence du Web 3.0. L’é­co­sys­tème per­met d’ef­fec­tuer des « swaps » de tokens entre  30 blo­ck­chains, comme celles du Bit­coin, d’E­the­reum, de Ter­ra ou encore de Fantom.

Impos­sible de savoir pour l’ins­tant si la pla­te­forme – qui reven­dique 9 mil­liards de dol­lars de valeur pla­cée (TVL) – compte dédom­ma­ger ses uti­li­sa­teurs lésés.