Beanstalk, un stablecoin basé sur la blockchain de l’Ethereum, a été hacké, et le token du projet a depuis perdu quasiment toute sa valeur. Le pirate est passé par un mixeur de crypto, des protocoles que les autorités veulent réguler.

182 millions de dollars : c’est la somme que le projet Beanstalk a perdu en quelques instants le dimanche 17 avril. Beanstalk, un protocole de crédit adossé à un stablecoin indexé sur le dollar et fonctionnant sur la blockchain de l’Ethereum, a été hacké. Le pirate a réussi à partir avec plus de 80 millions de dollars, mais il a également complètement vidé les coffres du projet.

Les piratages et les vols de projets DeFi (finance décentralisée) sont devenus des événements courants dans le monde des crypto-monnaies. Plusieurs gros casses ont eu lieu depuis le début de l’année 2022, dont le hack de 540 millions de dollars de la plateforme Ronin. En comparaison, les pertes subies par Beanstalk ne sont donc pas très élevées : il ne s’agit « que » de 182 millions de dollars de perdu. Mais la manière dont les hackeurs s’y sont pris relance un débat important dans le monde des crypto : transparence ou vie privée ?

Un hack « démocratique »

C’est l’entreprise PeckShield, spécialisée dans la sécurité de la blockchain, qui remarqué le hack en premier et qui a réussi à expliquer comment le pirate avait réussi son attaque.

Le hack a été rendu possible grâce à l’une des particularités du projet Beanstalk, qui permettait aux utilisateurs de se faire crédit : l’achat de Stalk, le token du projet, donnait accès à des pouvoirs décisionnaires. Le pirate s’est tout d’abord servi de Aave, un protocole de prêt de crypto-monnaies immédiat, afin d’acheter de larges quantités de Stalk. Une fois muni de tous ses token, le hacker a soumis une BIP (« blockchain improvment proposal »), soit une proposition d’amélioration de la gouvernance du projet.

Or, la BIP soumise ne visait pas à contribuer au projet : la proposition avait pour but de transférer les fonds de Beanstalk sur le portefeuille du hackeur. Tous les utilisateurs de Beanstalk peuvent voter sur les BIP, ce qui permet ordinairement d’avoir une façon de diriger le protocole plus démocratique. Seulement, le hackeur ayant acheté une importante quantité de Stalk, ce dernier a très facilement pu voter pour son propre projet, et le faire accepter. Beanstalk avait en effet un gros problème de sécurité : aucun protocole de sécurité ne vérifiait combien de personnes possédaient les Stalk, ce qui a permis au hacker d’accomplir son larcin sans obstacle.

Le hackeur a gardé pour lui plus de 80 millions de dollars, a vidé les réserves de liquidité du projet, et aurait également, selon PeckShield, fait un don à l’Ukraine de 250 000 dollars avec les fonds de Beanstalk. Depuis l’annonce du hack, la valeur du projet s’est littéralement effondrée, passant de 1 dollar à 0,17 dollar, selon CoinGecko. Les créateurs du projet ont reconnu l’importante faille dans la sécurité de Beanstalk, qu’ils ont indiqué mettre en pause, mais n’ont pas précisé si les utilisateurs pourraient récupérer leur argent.

shubham-dhage-sWBGwy95y5o-unsplash
Les hacks de projets crypto sont très courants // Source : Shubham Dhage / Unsplash

Les mixeurs sont-ils une bonne chose pour les crypto-monnaies ?

Mais le hackeur n’a pas pu simplement transférer les fonds volés sur son portefeuille et disparaître. Les transactions sur la blockchain de l’Ethereum sont toutes transparentes, et il est donc facile de suivre les transferts d’argent. Mais, afin qu’il soit impossible de remonter jusqu’à lui, le pirate n’a pas simplement envoyé les fonds vers son adresse personnelle : il est d’abord passé par un « mixeur », Tornado Cash.

Les mixeurs sont des services utilisés pour garantir l’anonymat des transactions sur l’Ethereum, et ils sont populaires. Les mixeurs fonctionnent en « mélangeant » les transactions que les clients veulent faire avec celles d’autres personnes, ce qui rend l’argent intraçable par les outils d’analyse de blockchain.

S’ils ne sont pas illégaux, les mixeurs sont très mal vus par les autorités bancaires, car ces services sont souvent utilisés pour blanchir de l’argent, ou pour servir de porte de sortie à des hackeurs. La NCA, national crime agency britannique, a d’ailleurs appelé à réguler les services de mixeurs le 15 mars 2022, afin de mettre fin au blanchiment d’argent. Mais les mixeurs sont aussi régulièrement utilisés par des utilisateurs lambdas qui souhaitent protéger leur vie privée — une valeur très importante au sein de la communauté crypto.

Dans le cas de Tornado Cash, le mixeur avait annoncé le 15 avril, deux jours avant le hack, qu’il interdisait désormais les transactions vers les portefeuilles sanctionnés pour fraude par l’Ofac, l’office de contrôle du Trésor américain. L’annonce n’a pas empêché le hack — et montre bien les limites d’une telle annonce. Surtout, au sein de la communauté, l’annonce de Tornado Cash n’était pas passé inaperçue, et avait soulevé quelques critiques. Le hack de Beanstalk ne fera certainement pas faire marche arrière aux fans de discrétion, mais va certainement renforcer la motivation des autorités à réguler.