BitMart - REKT
La CeFi est-elle vraiment plus sûre que la DeFi ?
BitMart, autoproclamée "plateforme de trading de crypto la plus fiable", a perdu ~$196M sur deux de ses hot wallets sur Ethereum et BSC.
Les actifs volés (principalement des memecoins) représentent un total d'environ 100 millions de dollars sur Ethereum et 96 millions de dollars sur BSC.
Lorsque la nouvelle a commencé à circuler, les administrateurs Telegram de BitMart ont rejeté les rumeurs en les qualifiant de "fake news", tout en déclarant que les demandes concernant un éventuel piratage généraient une "tension inutile".
Le PDG de BitMart, Sheldon Xia, a finalement annoncé que les retraits étaient en fait dus à une "faille de sécurité", informant au passage les utilisateurs qu'ils "suspendaient temporairement les retraits jusqu'à nouvel ordre".
Xia a toutefois estimé la perte totale à 150 millions de dollars, alors que nous savions déjà que les pertes totales s'élevaient à ~196 millions de dollars. C'est d’ailleurs ce montant que BitMart continue d'utiliser dans sa déclaration officielle.
Les CEX sont censés assurer un haut niveau de confiance à leurs utilisateurs.
Voilà deux jours à peine, Celsius a également perdu 50 millions de dollars sur un hot wallet lors de l'attaque front-end sur BadgerDAO, tout en minimisant les pertes.
Avec cette dernière "faille de sécurité" qui propulse BitMart directement à la deuxième place de notre classement, une question évidente vient à l'esprit.
Si la CeFi n'offre aucune sûreté supplémentaire, pourquoi donc l'utiliser ?
L'attaque a commencé sur Ethereum par cette transaction à 21:31:09 +UTC pour ~$33M de SHIB, et a débuté sur BSC environ une demi-heure plus tard avec ~$41M de SAFEMOON.
Sur Ethereum, le portefeuille affecté, appelé Bitmart 2, a été vidé de la grande majorité de son contenu. Le seul solde d'actifs substantiel restant est composé d'environ 40 millions de dollars du propre token de BitMart, probablement en raison de la difficulté de le décharger en dehors de la plateforme d'échange.
Le portefeuille affecté sur BSC : 0x8c128dba2cb66399341aa877315be1054be75da8
Répartition des pertes par token sur Ethereum (~$100M).
Répartition des pertes par token sur BSC (~$96M).
Le hacker a transféré les fonds des utilisateurs de BitMart depuis les hot wallets vers les adresses suivantes :
Ethereum 1 : 0x39fb0dcd13945b835d47410ae0de7181d3edf270
Ethereum 2 : 0x4bb7d80282f5e0616705d7f832acfc59f89f7091
BSC : 0x25fb126b6c6b5c8ef732b86822fa0f0024e16c61
À partir de là, les différents memecoins ont été échangés via 1inch vers ETH et BNB avant d'être blanchis par le biais de TornadoCash.
BitMart est toujours en train d'enquêter sur ce qui a pu causer cette faille de sécurité, et n'a pas encore fait de commentaires à propos d’un éventuel remboursement des utilisateurs affectés.
La section Sécurité de son site Web indique que moins de 0,5 % de ses actifs sont conservés dans des hot wallets.
Cela signifie que les actifs totaux de BitMart s'élèvent à plus de 39 milliards de dollars…
Si ce chiffre est avéré, un remboursement complet pour les utilisateurs affectés ne devrait pas poser de problème.
Les plateformes centralisées servent d'intermédiaires de confiance pour ceux qui hésitent à utiliser directement les cryptomonnaies.
Les utilisateurs cèdent la garde de leurs actifs en espérant que les personnes qui les gèrent soient des experts en sécurité et en bonnes pratiques.
Reste à savoir comment l'assaillant a réussi à accéder aux portefeuilles en question.
Il est à souhaiter qu'il ne s'agisse pas d'une autre erreur OPSEC de base, comme l'octroi d'autorisations illimitées à une EOA, à l’instar de ce qui s’est observé dans le cas de Celsius.
Il s'agit d'erreurs compréhensibles lorsqu'il s'agit d'individus et de petits portefeuilles. Mais à ce niveau, cela reste bien difficile à pardonner, surtout lorsque la CeFi représente le système financier corrompu qui profite de l'innovation de la DeFi.
Une société enregistrée aux Caïmans perd près de 200 millions de dollars. Leur équipe de communication nie d’abord en bloc puis minimise le montant réel des pertes tout en gelant les retraits jusqu'à ce que l’agitation autour de l’affaire se tasse et que la crainte d'une "panique bancaire" s'apaise.
Les intermédiaires concernés méritent-ils de faire des bénéfices ?
Et s'ils insistent pour le faire, BitMart s'engagera-t-il au moins à rembourser ses utilisateurs ?
Si vous appréciez notre travail, vous pouvez faire un don à notre Gitcoin Grant.
REKT sert de plateforme publique pour des auteurs anonymes, nous déclinons toute responsabilité quant aux opinions ou contenus hébergés sur REKT.
faites un don (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
avertissement:
REKT n'est responsable en aucune manière du contenu publié sur notre site Web ou en lien avec nos Services, qu'il soit publié ou occasionné par l'Auteur Anon de notre site Web, ou par REKT. Bien que nous fournissions des règles pour la conduite et les publications de l'Auteur Anon, nous ne contrôlons pas et ne sommes pas responsables de ce que l'Auteur Anon publie, transmet ou partage sur notre site Web ou nos Services, et ne sommes pas responsables de tout contenu offensant, inapproprié, obscène, illégal ou autrement répréhensible que vous pourriez rencontrer sur notre site Web ou nos Services. REKT ne saurait être tenu responsable de la conduite, en ligne ou hors ligne, de tout utilisateur de notre site Web ou de nos services.
vous pourriez aussi aimer...
LCX - REKT
Circulez, il n’y a rien à voir… Un nouveau CEX de rekt, 7,94 millions de dollars ont été volés. Les avantages de la finance centralisée se réduisent comme peau de chagrin jour après jour.
Fortress Protocol - REKT
La forteresse est un champ de ruines après que 3M$ aient été volés suite à une manipulation d'oracle et un acte de gouvernance malveillant. L'interface utilisateur est mise en pause, mais les contrats restent actifs. L'écosystème de Fortress renflouera-t-il les utilisateurs pour les fonds perdus ?
MM Finance - REKT
Mad Meerkat Finance (à ne pas confondre avec Meerkat Finance normal) a perdu 2 million de dollars à cause d'un exploit de DNS. Attaques front-end, attaques back-end, quand cela cessera-t-il donc ?