Bancor Network de nouveau victime d’une faille de sécurité dans ses smart contracts
Par Emmanuel Colin 
Bancor Network est un échange crypto décentralisé basé sur Ethereum qui permet notamment d’acheter ou de vendre des cryptomonnaies à partir d’un crypto wallet comme Metamask.
Pour la troisième fois, Bancor a été de nouveau victime d’une faille de sécurité dans ses smart contracts, avec le risque de perdre plus de 400 000 euros !
Bancor demande à ses utilisateurs qui auraient utilisé son protocole d’annuler les dernières transactions.
« Hier soir, une vulnérabilité a été découverte dans une nouvelle version du contrat BancorNetwork v0.6 déployée le 16 juin 2020.
Tous les utilisateurs ayant effectué des transactions avec Bancor au cours des dernières 48 heures et ayant donné des approbations au contrat Bancor, accédez à http://approved.zone et révoquez toutes les approbations. »
Last night, a vulnerability was discovered in a new version of the BancorNetwork v0.6 contract deployed on June 16 2020.
Any users who has traded with Bancor in the last 48hrs and given approvals to the Bancor contract, go to https://t.co/bCdpVtfPOC and revoke all approvals.
— Bancor (@Bancor) June 18, 2020
L’équipe de Bancor a détaillé ce qu’il s’est passé dans un article sur leur blog.
« Les utilisateurs ayant effectué des transactions avec Bancor entre le 16 et le 18 juin devraient révoquer toute approbation des contrats Bancor. Nous avons ajouté une transaction de révocation à toute conversion créée sur bancor.network pour permettre aux utilisateurs d’éliminer automatiquement le risque. Exécutez simplement une petite conversion (n’importe quel jeton fera l’affaire) sur bancor.network en utilisant MetaMask ou le portefeuille Bancor et vous serez invité à confirmer ces transactions de révocation pertinentes. »
Concernant la faille technique qui a affecté les contrats intelligents sur Bancor
« Les contrats V0.6 ont par erreur rendu publique la fonction safeTransferFrom dans le contrat BancorNetwork. Échanger des contrats intelligents comme l’allocation d’utilisation de Bancor pour interagir avec les portefeuilles des utilisateurs. Il s’agit d’une pratique courante utilisée par la plupart des DAPPS. Mais dans ce cas, une fonction privée qui aurait dû être limitée au seul contrat a été rendue publique. Cela a essentiellement permis à quiconque de transférer des jetons qui ont été approuvés uniquement pour le contrat à transférer.
Après avoir pris connaissance de la vulnérabilité et avec des fonds à risque, notre équipe a lancé une attaque au chapeau blanc utilisant cette même vulnérabilité afin de migrer 455 349 dollars de fonds à risque vers un portefeuille sécurisé. Un nouveau contrat de réseau a ensuite été poussé pour éviter qu’une erreur de ce type ne se reproduise. »
Plus de 455 000 dollars de fonds à risque donc qui mettent de nouveau Bancor dans une situation délicate pour la troisième fois !
Le système serait stabilisé
L’équipe de Bancor veut rassurer en indiquant que des tests ont été effectués afin de s’assurer qu’il n’y a plus de faille de sécurité.
« Les échanges au sein du système sont maintenant revenus à la normale. Parallèlement à notre activité de white hacking, deux robots d’arbitrage supplémentaires ont détecté les transactions entrantes, conduisant à des transactions en avance sur ces bots trading avec des bénéfices de 135 229$. Nous avons depuis été en contact avec les propriétaires de ces robots de trading et travaillons avec eux pour retourner les montants aux propriétaires légitimes en échange d’une prime de bogue (bug bounty). »
Yudi Levi de Bancor évoque des erreurs qui arrivent, il y en aura peut-être d’autres pour Bancor.
Une mésaventure qui a peut-être refroidi les utilisateurs de Bancor avec cette troisième faille technique.
En effet, Bancor a perdu 13,5 millions de dollars de fonds d’utilisateurs lors d’un piratage en 2018 et a subi un autre piratage de 23 millions de dollars l’année dernière !
Suivez Conseils Crypto sur Telegram, Facebook ou Twitter et ne manquez aucune actualité crypto !
