Le Singe yCredit



Pourquoi donner du crédit au singe ?

Si l’on sait que les contrats sont vulnérables, pourquoi les rendre publics ?

Celui qui le déploie se préoccupe-t-il des utilisateurs ?

Si oui, pourquoi déployer les contrats ?

Si non, pourquoi inciter les gens à se retirer ?

Si l’on se fie à ce qu'il dit, Cronje ne construit pas pour les spéculateurs. Pourtant, son dernier code ne semble bon qu’à être l’objet de spéculations.

Le processus d’audit de Cronje fait que celui-ci jette en pâture des produits inachevés en pâture aux singes, qui semblent bien contents de s’empiffrer de n’importe quel token qu’ils croisent sur leur route.

Il ne construit peut-être pas pour les spéculateurs, mais il compte très certainement sur eux pour tester son travail.

Les hackers mal-intentionnés, comme les plus éthiques, regardent de haut ceux avec des comportements primaires, mais si les singes n'agissaient pas comme des singes, il n’y aurait pas de recherche de vaine gloire, et pas de bêta-testeurs travaillant gratuitement.

Le 1er janvier, Cronje a annoncé le lancement d’un crédit au rendement tokenisé via yCredit. Comme il n'utilise plus Twitter, cette annonce a été faite en toute simplicité via un post sur Medium.

Cependant, l'habituelle armée de singes d’Andre n’a pas pu s'empêcher d’agir : 45,000 $ ont été rapidement injectés dans le contrat.

Quand Nour Haridy fit une annonce publique sur Twitter, avertissant les gens du danger et leur conseillant de retirer leur argent, il fut accusé de chercher à faire de buzz, abandonnant la noble divulgation responsable pour une vaine quête de gloire.

Tout le monde veut être un hacker éthique, mais qui l’est encore lorsque cela ne se sait pas ?

Nous avons échangé avec Nour pour le savoir.


rekt :

Salut Nour, pardon du retard, es-tu disponible ?

Nour :

J’ai du temps aujourd’hui.

rekt :

As-tu contacté l’équipe de Yearn avant ton annonce publique ?

Nour :

J’ai contacté Andre, l’équipe de Yearn n’a rien à voir avec yCredit selon lui.

Ils n’en savaient rien non plus d’ailleurs.

rekt :

Pourquoi as-tu pensé qu’il fallait faire une annonce publique ?

Nour :

Sans cela il n’y aurait pas eu de réponse, le contrat n’ayant pas été officiellement présenté.

rekt :

Penses-tu que ton annonce relève de la divulgation responsable ?

Nour :

Incontestablement. La seule autre option était de ne rien faire.

rekt :

Andre n’allait pas intervenir ?

Nour :

C’est à lui qu’il faut poser cette question, pas à moi.

Tout ce que je sais, c’est que le contrat ne devait être utilisé que par lui.

Il n’avait donc aucune raison de dire à qui que ce soit qu’il y avait un bug.

rekt :

S’il avait prévu de faire quelque chose, à quoi servait une annonce ?

Nour :

Vous avez raison. Je ne l’aurais pas fait.

rekt :

As-tu prévenu Andre que tu allais communiquer sur la vulnérabilité du contrat ?

Nour :

Yep.

Il a dit que je pouvais le faire si je voulais.

rekt :

Peux-tu prouver cela ?

Nour :

Nope.

C’est impossible sans réaliser des captures d’écran de nos chats. Ce que je ne peux faire sans son autorisation.

rekt :

Après ton annonce, deux vecteurs d’attaques ont été exploités, celui que tu avais signalé et un autre.

Si tu pouvais revenir en arrière, procéderais-tu de la même façon ?

Nour :

Il faut aussi préciser que des centaines de milliers de dollars ont été retirés après mon annonce. Mais à refaire, je préviendrais aussi les gars de Yearn, en plus d’Andre. Ce que j’avais d'ailleurs suggéré de faire, avant qu’on me dise qu’ils n’étaient en rien impliqués.

Le fait est que mon annonce relève de la divulgation responsable.

L’équipe de Yearn ne savait rien de yCredit, avant comme après sa sortie.

rekt :

Penses-tu qu’Andre aurait dû agir différemment ?

Nour :

Je pense qu'un plafond de dépôt serait utile pour limiter le risque potentiel.

Excepté cela, il faut souligner le fait qu’il avait prévenu que le contrat était sous la menace d’exploit.

Il n’a pas partagé l’adresse du contrat et n’a invité personne à l'utiliser.

Il n’a pas lancé d’interface utilisateur.

Personnellement, je partagerais le code source avec d'autres développeurs pour les examiner en premier. Mais ce sont des façons de faire différentes. Peut-être l'a-t-il fait aussi d’ailleurs.

rekt :

https://ycredit.finance ?

Nour :

C’est connecté à l’ancien contrat.

scUSD

rekt :

Ton tweet a fait le buzz, et tu as été accusé de chercher à te faire connaître sur cette histoire.

Y as-tu vu une occasion de te faire un coup de pub ?

Nour :

Évidemment.

J’ai préféré me faire de la pub plutôt que d’utiliser l’exploit moi-même.

Je trouve que c’est une bonne affaire pour ceux qui ont pu retirer leurs fonds à temps.

Je suis sûr que si j’avais utilisé l’exploit, on blâmerait plus les singes qui ont investi leur argent que moi.

Mais dans tous les cas je ne l’aurais pas fait.

Sauf peut-être si Andre avait mis ses fonds dedans, juste pour les lui renvoyer après pour se marrer.

rekt :

Penses-tu qu'Andre utilise la pratique du “test in prod ” comme une sorte de technique d'audit moins chère et décentralisée ?

Nour :

Yep, nous le faisons tous les deux.

Je l’ai fait pour Inverse, mais avec un plafond de dépôt par contre.

rekt :

Merci pour ton temps Nour. Un mot de la fin pour nos lecteurs ?

Nour :

Je veux juste leur dire que leur argent n'est pas plus en sécurité sur d’autres contrats audités qu'il ne pourrait l'être sur yCredit.

Aave a failli devoir brûler un milliard de $ le mois dernier à cause d’une mauvaise (et pourtant auditée) mise à jour.

Les audits ne sont pas plus que des memes.

La seule preuve fiable de sécurité est celle issue des tests en réelle conditions d’attaque, et se mesure par l’évaluation des potentiels profits des assaillants dans le temps. Ça ne sert à rien d’aller réclamer des audits ou des tests unitaires à Andre. Sa façon de faire est la seule qui fonctionne, surtout en ce qui concerne les vulnérabilités économiques.

De toute façon, le gars n'a jamais invité personne à tester en prod pour lui. Il testait en utilisant son propre argent. Participer ne vous confère aucun dû, pas même des réponses à des vulnérabilités ou des divulgations.

Merci pour l’interview.


editor's note - Bien qu'il avait déjà fait une annonce publique, Nour a au départ refusé de partager les détails de l'exploit avec rekt OPSEC, déclarant qu'il voulait attendre qu'il n'y ait plus aucun fonds dans le contrat.

Cela a ralenti notre enquête et nous a empêchés de prendre des mesures avant les inévitables hacks.


Les contrats ySwap

Stable AMM: 0x5cB5e2d7Ab9Fd32021dF8F1D3E5269bD437Ec3Bf

Exchange Router: 0xDD05437d7c7aF576b58262AE5ac6D37515168BE3

Swap Factory: 0x3A4FF19554b0F997A4cEF14A8860DcF813b738a4

Redeployed: 0x71b6296174c5f07d37cafd6e9b72ab5bb3f14fac

L'analyse de Banteg


Mais qui Nour pense-t-il être pour décider que partant du principe que “bah, il aurait pas dû l'utiliser dans tous les cas”, on pouvait inviter à rekt les gens et au passage jeter le discrédit sur Andre pour se faire une réputation ?

Ce n’est pas ça une divulgation responsable. As-tu contacté l’équipe ? Si non, pourquoi ? Si tu l’as fait, pourquoi le message d'intérêt public ? Tu attires littéralement l’attention des hackers mal intentionnés qui auraient raté l’occasion.*

J'ai vraiment essayé d'aller chercher plus d'informations pour savoir pourquoi et comment cela n'est pas géré de manière responsable, mais il se contentait de répondre des trucs du genre “ahah, c’est comme ça”.

Je ne voyais du coup pas l'intérêt d'échanger avec ce type et j'espérais juste que la police DeFi interviendrait.

Ce n’est pas comme si tu ne savais pas à qui t’adresser si tu voulais rester discret. Il a pourtant préféré se faire de la pub.

A part ça... des avertissements ont été émis, on ne peut rien reprocher à Andre. Il se fait encore discret pourtant, et ça me fait honnêtement de la peine pour lui. On peut bien sûr débattre pour savoir si ce test en prod ne devait pas être un peu plus dur d’accès pour les singes. Je pense qu’Andre est une personne très sensible, et des dramas inutiles comme ça pourraient très bien être une raison pour laquelle nous perdons l'un des constructeurs les plus ingénieux de notre temps.

Si les gens n’interagissent que par Etherscan, alors qu’ils aillent se faire foutre...

Soyez responsable de vos actions et responsable de vos pertes.


Il semble que ce contrat ait atteint son objectif.

Encore une nouvelle leçon pour les singes, qui ne semblent jamais rien apprendre

Les singes servent tout de même à quelque chose : l'ignorance des uns est un outil pour les autres.

Le contrat a été redéployé, la popularité comme les liquidités ont été redistribuées, et la vie continue.

Notre boîte de réception est toujours ouverte...


partager cet article

REKT sert de plateforme publique pour des auteurs anonymes, nous déclinons toute responsabilité quant aux opinions ou contenus hébergés sur REKT.

faites un don (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

avertissement:

REKT n'est responsable en aucune manière du contenu publié sur notre site Web ou en lien avec nos Services, qu'il soit publié ou occasionné par l'Auteur Anon de notre site Web, ou par REKT. Bien que nous fournissions des règles pour la conduite et les publications de l'Auteur Anon, nous ne contrôlons pas et ne sommes pas responsables de ce que l'Auteur Anon publie, transmet ou partage sur notre site Web ou nos Services, et ne sommes pas responsables de tout contenu offensant, inapproprié, obscène, illégal ou autrement répréhensible que vous pourriez rencontrer sur notre site Web ou nos Services. REKT ne saurait être tenu responsable de la conduite, en ligne ou hors ligne, de tout utilisateur de notre site Web ou de nos services.