VICE révélait la semaine dernière qu’un ou plusieurs pirates inconnus ont volé mercredi 119 millions de dollars en crypto-monnaies sur une plateforme de finance décentralisée (DeFi) basée sur la blockchain.
L’équipe de support technique de BadgerDAO, qui a suivi et analysé la cyberattaque de près, a déclaré qu’il semble qu’un script malveillant ait été injecté dans le frontend de BadgerDAO suite à la compromission d’une clé API donnant accès au compte Cloudflare de BadgerDAO.
HackerOne, spécialiste mondial de la sécurité collaborative apporte son éclairage sur cette cyberattaque de la supply chain DeFi :
« Ce n’est pas la première fois qu’un tel incident se produit. Nous avons également vu des scenarii de fuite de clés d’API, de vulnérabilités de script intersites (xss) via des NFT, d’acteurs malveillants parvenant à injecter du code vers des dépôts logiciels, etc.
La sécurisation des protocoles ne doit pas s’arrêter à l’audit du smart contract. Souvent, le piratage d’un smart contract ou d’une blockchain est le résultat d’un exploit dans le code exécuté sur la blockchain, mais cette attaque démontre qu’une mauvaise sécurité opérationnelle sur une infrastructure web2.0 peut encore entraîner des conséquences catastrophiques. À mesure que le “web3.0” se généralise, il est probable que de plus en plus de vecteurs d’attaque “web2.0” soient utilisés pour compromettre ces projets de DeFi. »