Le pont déployé entre Ethereum et Solana s’est fait dérober 120 000 tokens Wrapped Ether (wETH). Ces actifs ont été transférés vers les portefeuilles Solana et Ethereum des pirates.
Le « token bridge » Wormhole a été victime ce mercredi de l’exploitation d’une faille de sécurité, causant la perte de 120 000 tokens wETH (318 millions de dollars).
Wormhole est un pont de tokens qui permet aux utilisateurs de transférer des actifs numériques entre les blockchains Ethereum, Solana, Binance Smart Chain, Polygon, Avalanche, Oasis et Terra sans avoir à s’appuyer sur une plateforme d’échange décentralisée.
Il s’agit du plus grand crypto-piratage de 2022, et du deuxième plus grand hack de l’histoire de la finance décentralisée (DeFi).
Lors de la rédaction de cet article, le site officiel de Wormhole Bridge affichait le message suivant :
« Nous travaillons activement pour remettre en ligne le portail. Un correctif a été appliqué, et l’ensemble des fonds sont en sécurité ».
Les équipes de Wormhole ont proposé un « bug bounty » de 10 millions de dollars, dans l’espoir de convaincre les pirates de leur restituer les sommes dérobées.
Elles ont également tenté de rassurer la crypto-sphère en indiquant que leur stock d’Ether serait réapprovisionné afin de « garantir que les tokens wETH continuent à être garantis avec un ratio 1/1 ». On ignore toutefois d’où proviendront ces fonds et à quelle date ils seront injectés.
The wormhole network was exploited for 120k wETH.
ETH will be added over the next hours to ensure wETH is backed 1:1. More details to come shortly.
We are working to get the network back up quickly. Thanks for your patience.
— Wormhole🌪 (@wormholecrypto) February 2, 2022
Le piratage a eu lieu ce mercredi 2 février à 19 h 24, heure française. Les hackers ont émis 120 000 wETHs sur la blockchain Solana, avant d’échanger 93 750 wETH contre des Ethers sur le réseau Ethereum, pour une valeur de 254 millions de dollars, à 19 h 28. Ils ont ensuite utilisé une partie de cette somme pour mettre la main sur des actifs SportX (SX), Meta Capital (MCAP), Finally Usable Crypto Karma (FUCK) et Bored Ape Yacht Club Token (APE).
Les autres wETH ont été échangés sur Solana contre du SOL et de l’USDC. Le portefeuille Solana des pirates contient actuellement 432 662 SOL (soit 42,8 millions de dollars).
Si aucun autre actif n’a été impacté, la société de cybersécurité Certik a confié ce jeudi qu’il était « possible que le pont de Wormhole vers la blockchain Terra souffre de la même faille de sécurité que celle impactant le pont vers Solana ».
- À lire également : Prédiction Solana : le SOL pourrait atteindre des prix de 1 200 dollars en 2025 et de 5 000 dollars en 2030, selon ces experts
Un « bug bounty » de 10 millions de dollars
Les équipes de Wormhole ont contacté les pirates à travers leur adresse Ethereum afin de leur proposer 10 millions de dollars de récompense en l’échange du transfert des actifs dérobés :
« Nous avons constaté que vous avez tiré profit du processus de vérification VAA de Solana afin de créer des tokens. Nous aimerions vous proposer un accord “white hat”. Nous vous proposons un “bug bounty” contre l’obtention d’informations sur ce piratage et le renvoi des wETH que vous avez créés ».
Il s’agit du deuxième piratage d’un « smart contract » sur une plateforme de pont de tokens en une semaine. Le 28 janvier, le QBridge de Qubit Finance avait été victime du vol de 80 millions de dollars de tokens sur la Binance Smart Chain.
On peut également rappeler le piratage du Poly Network en août : l’équivalent de 610 millions de dollars d’actifs avaient été dérobés. La quasi-totalité des fonds avait toutefois été restituée par le pirate.