Vulnérabilité du faux jeton Flow révélée ! Chute de 40 % en 5 heures, perte de 3,9 millions de dollars

Flow fondation révèle une perte de 3,9 millions de dollars suite à une vulnérabilité au niveau du protocole le 27 décembre. Les attaquants ont exploité une faille de Cadence pour copier des actifs plutôt que de les voler, ce qui a conduit les validateurs à suspendre le réseau pendant 6 heures. FLOW a chuté de 40 % en 5 heures, passant de 40 dollars en 2021 à 0,075 dollar. Flow a été créé par Dapper Labs, qui a reçu un investissement de 725 millions de dollars de a16z.

Analyse technique de la vulnérabilité au niveau du protocole et des tokens copiés

La fondation Flow a publié mardi un rapport d’analyse technique détaillant l’incident de vulnérabilité au niveau du protocole survenu le 27 décembre. Les attaquants ont exploité une faille dans l’environnement d’exécution Cadence de Flow, permettant de copier certains actifs plutôt que de les forger, contournant ainsi le contrôle de l’offre sans accéder ou consommer le solde existant des utilisateurs.

Ce type d’attaque est extrêmement rare dans l’histoire de la sécurité blockchain. Les attaques classiques impliquent le vol de clés privées ou l’exploitation de vulnérabilités dans des contrats intelligents pour dérober des actifs, mais la faille de Flow permettait aux attaquants de « copier » des tokens comme on photocopierait de l’argent, sans retirer de fonds des comptes. Étant donné que l’attaque ne dérobait pas de fonds directement, aucun solde utilisateur n’a été affecté. Cette caractéristique rendait la vulnérabilité difficile à détecter initialement, car les utilisateurs ne remarquaient pas de diminution de leur solde.

Dans les six heures suivant la première transaction malveillante, les validateurs ont coordonné une suspension du réseau en mode lecture seule, coupant la voie de sortie et empêchant toute copie supplémentaire de données, tout en menant une enquête. Les partenaires des échanges ont également gelé les actifs falsifiés avant leur vente massive.

Deux jours plus tard, la reprise a été effectuée selon un plan de « récupération isolée » qui conserve les enregistrements légitimes et autorise la récupération et la destruction permanente des actifs falsifiés via un processus approuvé par la gouvernance. Bien que de nombreux tokens falsifiés aient été générés sur la chaîne, Flow indique que la majorité a été contrôlée ou gelée avant liquidation. En prévention, quelques comptes ayant interagi avec ces tokens ont été temporairement limités, tandis que plus de 99 % des comptes ont conservé un accès complet pendant et après la reprise.

Chronologie de l’incident de vulnérabilité Flow et processus de gestion

27 décembre – Premier incident : un hacker exploite la faille Cadence pour commencer à copier des tokens

6 heures – Suspension du réseau : les validateurs entrent en mode lecture seule pour couper la voie d’attaque

Fermeture d’urgence des échanges : partenaires gèlent les actifs falsifiés avant leur vente

Deux jours – Reprise isolée : enregistrement des transactions légitimes, destruction des actifs falsifiés, 99 % des comptes non affectés

De 40 dollars à 0,075 dollar : une longue chute

(Source : CoinGecko)

Le projet de jetons non fongibles CryptoKitties, créé par Dapper Labs, a annoncé en septembre 2019 le développement de Flow, une nouvelle blockchain de couche 1 conçue pour résoudre les défis de scalabilité rencontrés par les applications grand public telles que les jeux et les collections numériques. Le succès initial de NBA Top Shot (plateforme NFT pour échanger des moments officiels de la NBA) a permis à la blockchain Flow d’attirer l’attention du grand public en 2020 et 2021.

Dans ce contexte, selon CoinGecko, le jeton FLOW de cette blockchain a atteint plus de 40 dollars en 2021. La dynamique de croissance s’est poursuivie en 2022, avec la levée d’environ 725 millions de dollars auprès d’investisseurs tels qu’Andreessen Horowitz (a16z) et Union Square Ventures, pour soutenir l’écosystème. Ce soutien de haut niveau a fait de Flow un leader perçu dans l’infrastructure NFT.

Cependant, avec le refroidissement du marché NFT dans les années suivantes, le token FLOW a perdu de son élan, tombant hors du top 300 des cryptomonnaies par capitalisation. Après l’incident du 27 décembre, le prix de FLOW a accéléré sa chute, perdant environ 40 % en cinq heures. Le prix a brièvement atteint un creux de 0,075 dollar le 2 janvier, avant de rebondir. Selon Cointelegraph, au moment de la rédaction, il se négociait autour de 0,10 dollar, en hausse d’environ 16 % en 24 heures.

De 40 dollars à 0,075 dollar, la chute dépasse 99,8 %, une dégringolade extrême même dans le marché crypto. La chute de Flow reflète la crise du secteur des infrastructures NFT, où les projets sans application concrète sont rapidement abandonnés lorsque la spéculation s’épuise.

Correction de la vulnérabilité et mesures de sécurité renforcées pour l’avenir

La fondation indique avoir corrigé la faille sous-jacente, renforcé les vérifications en temps réel, et étendu les tests de régression pour prévenir de futures attaques. Elle collabore également avec des partenaires en forensic et des autorités pour renforcer la surveillance et mettre en place un programme de récompenses pour la découverte de vulnérabilités, dans le cadre d’un effort global de sécurisation.

Cette réponse de sécurité globale est essentielle, mais elle met aussi en lumière des défauts dans la conception initiale de Flow. Cadence, le langage principal des contrats intelligents de Flow, présente une vulnérabilité permettant la copie d’actifs, révélant des lacunes dans l’audit de code et les tests de sécurité. Pour une blockchain en activité depuis plusieurs années, traitant des centaines de millions de dollars en transactions, une vulnérabilité au niveau du protocole est extrêmement rare et grave.

L’amélioration du programme de récompenses est un signal positif, mais la confiance des investisseurs a été affectée. Flow doit continuer à renforcer la sécurité par des audits réguliers, une transparence totale sur les incidents, et une politique zéro vulnérabilité pour restaurer la confiance. Dans un marché Layer-1 très concurrentiel, un incident de sécurité majeur pourrait être fatal.