La controversée Binance Smart Chain est de retour dans l’actualité. Apparemment, les Dapps qu’il héberge ont été la cible de huit piratages de prêts flash au cours des derniers jours. Officieusement, la rumeur dit que le montant perdu avoisine le milliard de dollars. Binance pense que”des hackers bien organisés ciblent BSC maintenant.“Twitter est sceptique, mais ce n’est pas une surprise.
Il y a >8 #flashloan hacks récemment, pensons-nous, des hackers bien organisés ciblent #BSC maintenant. C’est une période très difficile pour la communauté BSC. Nous appelons aux actions pour tous les #dapps :
— Binance Smart Chain (@BinanceChain) 30 mai 2021
Un appel à l’action pour tous les Daaps sur le BSC
Si le Binance Smart Chain est centralisée, ne peuvent-ils pas s’occuper eux-mêmes du problème ? C’est le principal avantage d’une opération centralisée. Aussi, les projets qu’ils hébergent peuvent-ils vraiment s’appeler Daaps ? C’est une question pour un autre jour. Pour l’instant, Binance appelle ces projets à effectuer les actions suivantes :
-
Collaborez avec vos sociétés d’audit pour effectuer un autre bilan de santé. Si vous êtes des projets bifurqués, veuillez vérifier deux fois et trois fois vos modifications par rapport à la version originale.
-
Appliquer les mesures de contrôle des risques nécessaires pour surveiller activement toute anomalie en temps réel et suspendre le protocole si une anomalie se produit effectivement.
-
Planifiez un plan d’urgence pour le pire des cas si (un piratage) se produit réellement.
-
Configurez votre propre programme de primes ou sur l’immunofi si possible.
Ils proposent également des consultations gratuites des sociétés de sécurité blockchain PeckShield et CertiK Security Leaderboard.
Lectures connexes | Le prêt crypto est devenu un pilier de la Cryptosphère
Comment fonctionnent les piratages de prêts Flash ?
Le monde DeFi est le Far West sauvage en ce moment. C’est l’une des raisons pour lesquelles c’est excitant, rapide et amusant. Cependant, il y a beaucoup de risques impliqués, à la fois pour les utilisateurs et pour les développeurs. Ce hack particulier cible ce dernier, et il utilise l’un des services de définition de DeFi pour le faire.
1⃣ Le pirate a utilisé PancakeSwap pour emprunter une énorme quantité de BNB
2⃣ Le hacker a ensuite manipulé le prix de l’USDT/BNB ainsi que du BUNNY/BNB
3⃣ Le pirate a fini par obtenir une énorme quantité de BUNNY grâce à ce prêt flash
— pancakebunny.finance (@PancakeBunnyFin) 20 mai 2021
Fondamentalement, les prêts flash permettent aux utilisateurs d’emprunter de grandes quantités d’actifs à partir d’un « pool de liquidités en chaîne, » qui ils doivent revenir dans le cadre de la même transaction. Ils paient une somme modique et tout le monde est content. Le problème est que ces grandes quantités d’actifs peuvent être utilisées pour « manipuler le marché avec une seule transaction importante ».
Ainsi, « les protocoles qui utilisent un échange décentralisé basé sur la blockchain (DEX) comme unique oracle de prix du protocole » sont à risque. Les attaquants n’ont qu’à obtenir un prêt flash dans un jeton et l’échanger contre un autre sur le DEX, manipulant ainsi les deux prix, l’un monte et l’autre baisse. Ensuite, ils accèdent à leur protocole cible et utilisent le deuxième jeton pour emprunter une quantité encore plus grande du premier jeton. Sur ce, ils remboursent leur prêt, empochent la différence et attendent que le marché corrige le prix manipulé.
Chainlink explique cela plus en détail, les attaquants étaient :
… capable d’augmenter la valeur déclarée du jeton utilisé comme garantie et de réduire la valeur déclarée du jeton utilisé comme dette. Cela a permis à l’attaquant d’emprunter plus de fonds qu’il n’aurait dû, créant une position toxique qui ne peut pas être entièrement liquidée, car la garantie est devenue inférieure à la dette.
Lectures connexes | Ce portefeuille Bitcoin en cours Hack a volé 22 millions de dollars en BTC
Les hacks pourraient-ils être des tirages de tapis ?
La communauté sceptique de Twitter a une autre théorie. Il n’y a aucune preuve à l’appui, mais ils pensent que les projets étaient des escroqueries au départ. Et qu’ils déguisent leurs tractions de tapis en hack. Binance Academy explique ce concept tout en enseignant aux utilisateurs comment repérer une arnaque :
Si l’équipe de projet fournit une bonne partie de la liquidité pour la paire de marché sur l’AMM, elle peut tout aussi bien la retirer et jeter les jetons sur le marché. Cela se traduit généralement par un prix du jeton essentiellement nul. Comme il n’y a pratiquement plus de marché sur lequel vendre, on parle souvent de tirage au tapis.
AMM fait référence aux teneurs de marché automatiques, c’est-à-dire à des services comme Uniswap ou PancakeSwap. Alors, les récents incidents pourraient-ils être des tireurs de tapis déguisés en hacks ? C’est certainement une explication plus simple.
Certains des projets piratés, cependant, offrent à leurs utilisateurs un programme de rémunération .
L’histoire est encore en développement. Bitcoinist gardera un œil dessus.
Image en vedette par Daniel Thomas sur Unsplash -Graphiques de TradingView
