Imaginez un instant qu’un groupe de pirates découvrent une importante vulnérabilité dans un protocole crypto et réussissent à dérober l’équivalent de 10 millions de dollars. Mais au lieu de disparaître dans la nature avec leur butin, ils décident de le restituer intégralement quelques heures plus tard. Aussi incroyable que cela puisse paraître, c’est exactement ce qui est arrivé au Ronin Network dans la nuit du 6 août dernier.
Un protocole MEV exploité mais vite corrigé
Le Ronin Bridge, utilisé notamment pour le célèbre jeu Axie Infinity, a été la cible d’une attaque exploitant une faille du protocole MEV (Maximal Extractable Value). Ce protocole permet en temps normal aux mineurs et validateurs d’extraire de la valeur en réordonnant les transactions de manière permissionless. Mais un bug a permis à des hackers de détourner ce mécanisme pour siphonner l’équivalent de 4000 ETH, soit environ 10 millions de dollars.
Heureusement, les fonds ont été retournés quelques heures plus tard par ceux que l’on qualifie de “whitehats” ou “pirates éthiques”. Ces experts en sécurité, agissant de manière légale et responsable, ont détecté et exploité la faille dans le but de la démontrer et de permettre sa correction rapide. Pour les récompenser de leur intégrité et de leur aide précieuse, le Ronin Network leur a offert un “bug bounty” de 500 000$.
De nouvelles mesures de sécurité déployées
Suite à cet incident, le Ronin Bridge a été temporairement suspendu le temps de mener un audit de sécurité complet. L’objectif est de passer au crible toute l’architecture du bridge pour identifier et colmater d’éventuelles autres vulnérabilités. L’équipe a aussi annoncé travailler sur un nouveau système pour gérer les transactions cross-chain de manière plus sécurisée.
Un réseau qui n’en est pas à son premier hack
Malheureusement, le Ronin Network semble attirer les pirates comme des mouches. En mars 2022, le tristement célèbre groupe de hackers nord-coréens Lazarus avait réussi à dérober pour 600 millions de dollars de crypto-actifs. Cet hack reste à ce jour l’un des plus importants de l’histoire de la cryptosphère.
Plus récemment en février 2024, c’est le cofondateur d’Axie Infinity en personne, Jeff Zirlin, qui s’était fait dérober l’équivalent de 9,7 millions de dollars. Mais le projet a toujours su rebondir, aidé notamment par des acteurs majeurs comme Binance qui sont intervenus pour soutenir le réseau et rembourser les utilisateurs lésés.
Les points clés à retenir :
- 4000 ETH volés via une faille du protocole MEV, soit environ 10 millions de dollars
- Fonds intégralement retournés par des pirates éthiques quelques heures après
- 500 000$ de “bug bounty” offerts en récompense aux whitehats
- Mesures de sécurité renforcées et nouveau système en développement pour le Ronin Bridge
Cet épisode montre bien que même les protocoles les plus solides ne sont pas à l’abri de failles. Mais il met aussi en lumière le rôle crucial des pirates éthiques, ce bataillon de l’ombre qui veille sur la sécurité de l’écosystème. Leur travail discret et désintéressé permet d’éviter des pertes colossales aux projets et à leurs utilisateurs. Peut-être existe-t-il finalement des héros parmi les pirates !