182 millions de dollars : c’est la somme que le projet Beanstalk a perdu en quelques instants le dimanche 17 avril. Beanstalk, un protocole de crédit adossé à un stablecoin indexé sur le dollar et fonctionnant sur la blockchain de l’Ethereum, a été hacké. Le pirate a réussi à partir avec plus de 80 millions de dollars, mais il a également complètement vidé les coffres du projet.
Les piratages et les vols de projets DeFi (finance décentralisée) sont devenus des événements courants dans le monde des crypto-monnaies. Plusieurs gros casses ont eu lieu depuis le début de l’année 2022, dont le hack de 540 millions de dollars de la plateforme Ronin. En comparaison, les pertes subies par Beanstalk ne sont donc pas très élevées : il ne s’agit « que » de 182 millions de dollars de perdu. Mais la manière dont les hackeurs s’y sont pris relance un débat important dans le monde des crypto : transparence ou vie privée ?
Un hack « démocratique »
C’est l’entreprise PeckShield, spécialisée dans la sécurité de la blockchain, qui remarqué le hack en premier et qui a réussi à expliquer comment le pirate avait réussi son attaque.
Le hack a été rendu possible grâce à l’une des particularités du projet Beanstalk, qui permettait aux utilisateurs de se faire crédit : l’achat de Stalk, le token du projet, donnait accès à des pouvoirs décisionnaires. Le pirate s’est tout d’abord servi de Aave, un protocole de prêt de crypto-monnaies immédiat, afin d’acheter de larges quantités de Stalk. Une fois muni de tous ses token, le hacker a soumis une BIP (« blockchain improvment proposal »), soit une proposition d’amélioration de la gouvernance du projet.
Or, la BIP soumise ne visait pas à contribuer au projet : la proposition avait pour but de transférer les fonds de Beanstalk sur le portefeuille du hackeur. Tous les utilisateurs de Beanstalk peuvent voter sur les BIP, ce qui permet ordinairement d’avoir une façon de diriger le protocole plus démocratique. Seulement, le hackeur ayant acheté une importante quantité de Stalk, ce dernier a très facilement pu voter pour son propre projet, et le faire accepter. Beanstalk avait en effet un gros problème de sécurité : aucun protocole de sécurité ne vérifiait combien de personnes possédaient les Stalk, ce qui a permis au hacker d’accomplir son larcin sans obstacle.
Le hackeur a gardé pour lui plus de 80 millions de dollars, a vidé les réserves de liquidité du projet, et aurait également, selon PeckShield, fait un don à l’Ukraine de 250 000 dollars avec les fonds de Beanstalk. Depuis l’annonce du hack, la valeur du projet s’est littéralement effondrée, passant de 1 dollar à 0,17 dollar, selon CoinGecko. Les créateurs du projet ont reconnu l’importante faille dans la sécurité de Beanstalk, qu’ils ont indiqué mettre en pause, mais n’ont pas précisé si les utilisateurs pourraient récupérer leur argent.
Les mixeurs sont-ils une bonne chose pour les crypto-monnaies ?
Mais le hackeur n’a pas pu simplement transférer les fonds volés sur son portefeuille et disparaître. Les transactions sur la blockchain de l’Ethereum sont toutes transparentes, et il est donc facile de suivre les transferts d’argent. Mais, afin qu’il soit impossible de remonter jusqu’à lui, le pirate n’a pas simplement envoyé les fonds vers son adresse personnelle : il est d’abord passé par un « mixeur », Tornado Cash.
Les mixeurs sont des services utilisés pour garantir l’anonymat des transactions sur l’Ethereum, et ils sont populaires. Les mixeurs fonctionnent en « mélangeant » les transactions que les clients veulent faire avec celles d’autres personnes, ce qui rend l’argent intraçable par les outils d’analyse de blockchain.
S’ils ne sont pas illégaux, les mixeurs sont très mal vus par les autorités bancaires, car ces services sont souvent utilisés pour blanchir de l’argent, ou pour servir de porte de sortie à des hackeurs. La NCA, national crime agency britannique, a d’ailleurs appelé à réguler les services de mixeurs le 15 mars 2022, afin de mettre fin au blanchiment d’argent. Mais les mixeurs sont aussi régulièrement utilisés par des utilisateurs lambdas qui souhaitent protéger leur vie privée — une valeur très importante au sein de la communauté crypto.
Dans le cas de Tornado Cash, le mixeur avait annoncé le 15 avril, deux jours avant le hack, qu’il interdisait désormais les transactions vers les portefeuilles sanctionnés pour fraude par l’Ofac, l’office de contrôle du Trésor américain. L’annonce n’a pas empêché le hack — et montre bien les limites d’une telle annonce. Surtout, au sein de la communauté, l’annonce de Tornado Cash n’était pas passé inaperçue, et avait soulevé quelques critiques. Le hack de Beanstalk ne fera certainement pas faire marche arrière aux fans de discrétion, mais va certainement renforcer la motivation des autorités à réguler.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !