BNB Chain (BNB), la blockchain de l'exchange Binance, a été mise en pause le 6 octobre en raison d'un piratage sur son pont cross-chain. Les auteurs de l'attaque s'étaient emparés de cryptomonnaies d'une valeur d'environ 100 millions de dollars.
Le compte Twitter officiel de BNB Chain a d'abord annoncé la suspension temporaire en raison d'une « activité irrégulière » sur la blockchain, mais a ajouté peu après qu'elle était due à un éventuel piratage. Binance a fourni une mise à jour indiquant que la blockchain était « en maintenance », suspendant tous les dépôts et retraits.
To confirm, we have suspended BSC after having determined a potential exploit.
— BNB Chain (@BNBCHAIN) October 6, 2022
All systems are now contained, and we are immediately investigating the potential vulnerability. We know the Community will assist and help freeze any transfers.
All funds are safe.
Pour vous le confirmer, nous avons suspendu BSC après avoir constaté un potentiel piratage. Tous les systèmes sont maintenant contenus, et nous enquêtons immédiatement sur la potentielle vulnérabilité. Nous savons que la Communauté apportera son aide et contribuera à geler tout transfert. Tous les fonds sont en sécurité.- BNB Chain (@BNBCHAIN) 6 octobre 2022
Des rumeurs avaient auparavant circulé sur Twitter selon lesquelles le réseau avait subi un piratage important, les analyses on-chain montrant que les présumés pirates avaient volé environ deux millions de BNB, la cryptomonnaie native de la blockchain, soit une valeur de près de 600 millions de dollars.
Hi, @BNBCHAIN Apparently, two huge reward claims
— PeckShield Inc. (@peckshield) October 6, 2022
with each claiming 1M BNB and in total ~$586M rewards are claimed from its token hub. (https://t.co/mMg8o0u7fj) https://t.co/FxRHDdvuPg pic.twitter.com/GSrLSSyRNR
Bonjour, @BNBCHAIN Apparemment, deux énormes demandes de récompense, chacune réclamant 1M de BNB et au total près de 586 millions de dollars de récompenses sont réclamés à partir de son token hub. (https://t.co/mMg8o0u7fj) https://t.co/FxRHDdvuPg pic.twitter.com/GSrLSSyRNR- PeckShield Inc. (@peckshield) 6 octobre 2022
Une mise à jour ultérieure d'un développeur de BNB Chain sur Reddit a confirmé que le piratage avait eu lieu, indiquant que les premières estimations de la valeur du vol se situent entre 100 et 110 millions de dollars, avec environ 7 millions de dollars gelés.
BNB Chain a déclaré que l'exploitation de vulnérabilité, qui a été exécutée sur le BSC Token Hub, a entraîné la création de « BNB supplémentaires ». Néanmoins, il a rassuré le public en affirmant que ses systèmes sont maîtrisés, et que les fonds des utilisateurs sont en sécurité pendant que l'enquête sur la vulnérabilité se poursuit.
An exploit on a cross-chain bridge, BSC Token Hub, resulted in extra BNB. We have asked all validators to temporarily suspend BSC. The issue is contained now. Your funds are safe. We apologize for the inconvenience and will provide further updates accordingly.
— CZ Binance (@cz_binance) October 6, 2022
Une exploitation de vulnérabilité sur un pont cross-chain, le BSC Token Hub, a entraîné la création de BNB supplémentaires. Nous avons demandé à tous les validateurs de suspendre temporairement BSC. Le problème est maintenant maîtrisé. Vos fonds sont en sécurité. Nous nous excusons pour la gêne occasionnée, et fournirons d'autres mises à jour en conséquence.- CZ Binance (@cz_binance) 6 octobre 2022
L'analyse initiale de la blockchain par les utilisateurs de Twitter avant les annonces officielles a montré que le pirate a réclamé une récompense d'un million de BNB par le biais du token hub, avant de déposer le solde sur la plateforme de prêt de finance décentralisée (DeFi) Venus Protocol.
Il a ensuite emprunté pour 150 millions de dollars de stablecoins répartis entre l'USD Coin (USDC), le Tether (USDT), et le Binance USD (BUSD) en utilisant des ponts cross-chain pour échanger les tokens contre de l'ether (ETH), des tokens Phantom Protocol (PHM) et du Polygon (MATIC) avant l'arrêt de BNB Chain.
Before the BNB chain halt, attacker successfully transferred:
— Hacken (@hackenclub) October 6, 2022
≈ $57M to Fantom
≈ $53M to Ethereum
≈ $400k to Polygon
Avant l'arrêt de BNB Chain, le pirate a transféré avec succès : ≈ 57 millions de dollars à Fantom ≈ 53 millions de dollars à Ethereum ≈ 400 000 de dollars à Polygon - Hacken (@hackenclub) 6 octobre 2022
Le pirate a de nouveau dérobé un autre million de BNB qu'il a placé dans Stargate Protocol, un autre fournisseur de ponts cross-chain.
À lire également : 2 milliards de dollars en cryptomonnaies volés cette année sur des ponts cross-chain : Chainalysis
Zane Huffman, responsable de la stratégie de la plateforme DeFi Vesper Finance, a conclu que le pirate avait emporté environ 100 millions de dollars sur une exploitation initiale de près de 600 millions de dollars, chiffre fourni ultérieurement par Zhao.
The attackers next moves will probably to pull ETH out of bridges back to mainnet and then tornado. They have about around $45 million in ETH on mainnet, another $20 million in bridges (Avalanche and Fantom official).
— GREEN JEFF (The Bread #9) (@jeffthedunker) October 6, 2022
With overcollateralized ETH borrows, they may get $100mm max
Les prochains mouvements des pirates seront probablement de retirer l'ETH des ponts pour le ramener sur le réseau principal et ensuite sur Tornado. Ils disposent d'environ 45 millions de dollars en ETH sur le réseau principal et de 20 millions de dollars supplémentaires sur les ponts (Avalanche et Fantom officiels). Avec des emprunts d'ETH surcollatéralisés, ils pourraient obtenir 100 millions de dollars maximum. - GREEN JEFF (The Bread #9) (@jeffthedunker) 6 octobre 2022
Huffman a ajouté que le pirate a gelé des actifs numériques d'une valeur d'environ 400 millions de dollars sur BNB Chain, et que d'autres actifs pourraient être bloqués dans des ponts cross-chain du côté de la blockchain BNB.
Le fournisseur de stablecoins Tether a également mis sur liste noire l'adresse associée à l'exploitation de vulnérabilité.
Mis à jour avec des informations supplémentaires de BNB Chain, Zhao et l'analyse initiale de diverses sources.