Un hacker subtilise 660000 dollars en quelques secondes
Un hacker a utilisé une faille sur une plateforme de finance décentralisée (DeFi) pour détourner plus d’un demi-million. L’opération a coûté 110 dollars. Ce piratage pose des questions sur le degré de protection offert par cette «finance programmable»
C’est un grand classique du journalisme (et l’auteur de ces lignes est un récidiviste): il suffit de parler d’une nouveauté ou de trouver un projet novateur pour qu’il fasse l’objet de malversations ou qu’il tombe finalement à l’eau. Mardi, au lendemain de notre article sur la DeFi – la finance décentralisée sur la blockchain –, un hacker est parvenu à détourner environ 660 000 dollars dans ce système. En quelques secondes et avec 110 dollars. De quoi soulever des questions sur le degré de décentralisation souhaitable dans ce qui est également appelé la «finance programmable».
En plus de ces 110 dollars, ce hacker a utilisé sa connaissance très fine du fonctionnement de la DeFi. Cette finance sans banques permet en théorie à tout individu d’accéder à des services financiers, et même d’en créer. Différentes plateformes le permettent grâce à des smart contracts, des contrats configurables qui s’auto-exécutent lorsque des conditions prédéfinies sont remplies. Tout individu peut déposer des fonds sur ces plateformes et accorder des prêts, ou générer des produits financiers plus complexes.
«Flash loans»
C’est d’ailleurs en contractant un prêt que ce hacker a réalisé son coup, raconte le site spécialisé The Defiant. L’individu a emprunté 7500 ethers (une cryptomonnaie, soit 2,1 millions de dollars) via un prêt d’un type particulier, appelé flash loans, qui ne nécessite pas d’effectuer un dépôt préalable au titre de fonds propres. Dans les grandes lignes, le voleur a utilisé une partie des capitaux empruntés pour investir avec un effet de levier sur un actif peu liquide, un stable coin (une cryptomonnaie dont la valeur est indexée à celle du dollar).
L’autre partie de ses fonds a été utilisée pour acheter massivement ce stable coin, sur une autre plateforme de DeFi. Le cours du stable coin a ainsi progressé de deux dollars. Ces capitaux ont ensuite été utilisés comme fonds propres (à la valeur artificiellement gonflée) pour obtenir un autre prêt. Et rembourser l’emprunt initial de 7500 ethers.
Au passage, le trader a empoché 2378 ethers, soit plus de 660 000 francs au cours de mercredi après-midi, en profitant de la hausse artificielle du stable coin. Le hacker savait de toute évidence qu’une des plateformes utilisées ne mettait pas à jour suffisamment rapidement les prix des actifs concernés. Et il a exploité cette faille
Attaque ou utilisation astucieuse?
Dans les milieux spécialisés, la question est maintenant de savoir si ce montage complexe constitue une attaque ou une utilisation adroite des pièces du «lego financier» qu’est la finance décentralisée.
La DeFi fonctionne à travers de nombreuses pièces étroitement imbriquées, qui permettent de construire des produits financiers complexes. Mais ce haut degré de complexité facilite les attaques potentielles et rend le système plus difficile à protéger, résume le site spécialisé The Defiant.
Une protection déclenchée lors de ce hack a consisté à mettre les plateformes concernées en pause. Ce qui signifie que si les dirigeants de ces plateformes ont pu interrompre l’activité, c’est que la DeFi n’est pas réellement décentralisée. ▅