Les attaques de copycat sur la BSC révèlent une faille de sécurité majeure dans le langage de programmation Vyper
La BNB Smart Chain (BSC), une star montante qui rivalise avec Ethereum (ETH), a récemment été confrontée à une série d'attaques de copie qui ont conduit au vol de près de 73 000 $ de crypto-monnaie. Cette situation rappelle l'attaque fameuse qui a touché le protocole de finance décentralisée (DeFi) basé sur Ethereum, Curve Finance. La société spécialisée dans la sécurité de la blockchain, BlockSec, a mené une enquête approfondie pour découvrir la source de ces exploits. Selon leurs conclusions, les attaquants ont utilisé des techniques sophistiquées pour exploiter les vulnérabilités du langage de programmation Vyper, prenant ainsi la communauté BSC au dépourvu.
Une vulnérabilité dans le langage Vyper exposée
Les attaques copiées sur la BSC ont été rendues possibles par un dysfonctionnement du verrou de réentrance dans certaines versions du langage de programmation Vyper. Cette faille de sécurité a touché les versions 0.2.15, 0.2.16 et 0.3.0 de Vyper, qui sont largement utilisées par plusieurs pools DeFi sur BSC. Le verrou de réentrance est une méthode de sécurité cruciale qui empêche les appels répétés aux fonctions d'un contrat. Lors d'une attaque de réentrance, les attaquants exploitent cette vulnérabilité pour appeler de manière répétée une fonction d'un contrat avant que l'appel initial ne soit terminé, donnant ainsi lieu à des conséquences non anticipées et permettant potentiellement un accès non autorisé aux fonds.
Initialement créé pour la machine virtuelle Ethereum (EVM), Vyper est un langage de programmation populaire qui visait à offrir une alternative plus sûre et plus conviviale à Solidity, un autre langage utilisé couramment pour le développement de contrats intelligents Ethereum. Cependant, la découverte récente de cette vulnérabilité dans certaines versions de Vyper prouve que aucun langage de programmation n'est à l'abri des failles potentielles. L'impact de cette vulnérabilité dépasse l'écosystème de la BSC puisque Vyper est utilisé non seulement sur cette plateforme, mais également par divers autres protocoles à travers différentes plateformes de blockchain.
Un hacker « white hat » entre en action pour contrer les attaques
Face à ces attaques, plusieurs hackers éthiques connus sous le nom de « white hat » ont pris des mesures pour contrer les attaquants et protéger les utilisateurs et les protocoles DeFi contre d'autres dommages. Parmi eux, un pirate blanc en particulier opérant sous le pseudonyme « c0ffebabe.eth » a agi de manière louable. Après avoir découvert l'exploit, « c0ffebabe.eth » a rapidement mis en sécurité une partie des fonds volés afin d'empêcher les pirates noirs de causer davantage de tort.
Mais « c0ffebabe.eth » ne s'est pas arrêté là. Il a lancé un appel aux protocoles DeFi concernés pour coordonner leurs efforts en vue de restituer les fonds à leurs propriétaires légitimes. En témoignage de sa détermination, il a même réussi à retourner près de 2 900 Ether (ETH) d'une valeur de plus de 5 millions de dollars au protocole DeFi Curve. Pour assurer la sécurité de ces fonds, « c0ffebabe.eth » a déplacé 1 000 ETH vers un nouveau portefeuille, probablement un portefeuille de stockage à froid, afin d'isoler les fonds des attaques potentielles des pirates malveillants.
Ces récents événements soulignent l'importance de la sécurité dans l'écosystème des crypto-monnaies et mettent en évidence les vulnérabilités potentielles existantes dans les différents langages de programmation. Il est essentiel que les développeurs et les chercheurs continuent de travailler ensemble pour renforcer la sécurité des protocoles et garantir la protection des actifs des utilisateurs. En tant que lecteur, il est important de rester informé et d'être vigilant face à ces enjeux de sécurité toujours présents.
