Un attaquant fier de son forfait – Les hackers ne semblent jamais s’essouffler et s’ingénient à vouloir porter préjudice à l’écosystème DeFi. Cette fois-ci, il n’est pas question de pools vidées grâce à des flashloans, mais d’une attaque visant le projet NFT Meebits.
Un hacker un peu trop fier de lui
Larva Labs fait partie de ces organisations pionnières dans l’écosystème NFT. Celle-ci est à l’origine des fameux CryptoPunks qui ont participé à mettre en place l’engouement autour de l’art tokenisé.
L’entreprise est récemment revenu sur le devant de la scène avec une nouvelle série de personnages NFT : les Meebits.
La structure Larva Labs #CryptoPunk vient de lancer le projet #Meebits 20 000 personnages uniques sous forme de #NFT
La vente initiale a été clôturée en 3h Et le marché secondaire sur #Opensea enregistre déjà des prix de l’ordre de 420 ETHhttps://t.co/XelDkFxU8B
— Trading du Coin (@TradingduCoin) May 5, 2021
Cependant, le samedi 8 mai, un attaquant a découvert une faille dans le processus de génération des Meebits.
Connu sous le pseudonyme @0xNietzsche sur Twitter, l’attaquant s’est très vite vanté de son exploit, annonçant qu’il était en mesure de gagner « 300 000 dollars par heure », lors de l’attaque. Celui-ci a depuis supprimé les tweets en question, expliquant que ces derniers étaient inconvenants.
Definitely sent out some regrettable tweets in the last few hours. After coming down & processing it all they do sound VERY douchey.
— 0xNietzsche (@0xNietzsche) May 8, 2021
Des Meebits très rares générés incessamment
Dans les faits, la faille a permis à l’attaquant de créer le Meebit qu’il désirait, ce qui lui a permis de générer les plus rares, donc naturellement les plus chers.
L’attaquant avait alors envoyé une transaction pour générer un Meebit et l’avait inversé, si le Meebit ne lui convenait pas. Ainsi, nous pouvons voir toute une série de transactions refusées sur l’adresse du contrat de l’attaquant.
Pour ce faire, 0xNietzsche s’est basé sur un fichier ZIP inclus dans le contrat des Meebits, révélant l’ID de chaque Meebit. Il lui a donc suffi de créer une liste des ID des Meebits qui l’intéressaient (es plus rares) et de nouveaux Meebits jusqu’à obtenir ceux désirés.
Une fois le Meebit désiré créé, 0xNietzsche l’a mis en vente sur OpenSea avant de le vendre pour la modique somme de 200 ETH, soit 680 000 dollars au cours actuel.
4/ Then they offer it for sale for 300 Eth on Opensea, dropping to 200 Eth minutes later, pinging @pranksyNFT who then buys it seemingly without knowing it’s from an exploit.
— Sillytuna (@sillytuna) May 8, 2021
Larva Labs réagit vite, mais un peu tard
Peu de temps après la découverte de cette attaque, les équipes de Larva Labs ont temporairement désactivé la création ainsi que le trading sur le contrat Meebits.
Un formulaire a également été mis en place pour les derniers participants n’ayant pas pu réclamer les Meebits qui leur étaient dus. En effet, l’ensemble des possesseurs de NFT CryptoPunk ou Glyph était en mesure de générer un Meebits.
Point surprenant : il semblerait qu’une partie de la communauté prédise que cet évènement entraînera le prix des Meebits à la hausse, car il aurait permis de dynamiser le projet.
Avec une perte de plus de 284 millions de dollars rien que sur Ethereum, la DeFi semble être une place des plus précaires dans la sphère crypto. Bien que Larva Labs ait réagit plutôt efficacement, les dégâts causés ont été assez importants. Les développements de la finance décentralisée sauront-ils mettre en place des solutions durables contre ces hacks redondants ?
L’article Un trésor de 700 000 € sur la DeFi – Il découvre une faille sur des NFT et s’enrichit en une nuit est apparu en premier sur Journal du Coin.