En octobre 2022, le protocole inter-chain Transit Swap a subi une attaque qui a permis à un pirate de vider les portefeuilles de ses utilisateurs ayant approuvé son contrat d’échange. La perte initiale estimée à 1,07 million de dollars s’est révélée supérieure à 23 millions. Ce qui s’est passé ensuite est aussi instructif que l’attaque elle-même.
Grâce à un travail conjoint de plusieurs firmes de sécurité blockchain, 70 % des fonds ont été restitués en quelques heures, illustrant une dynamique nouvelle dans la gestion des crises DeFi.
En bref
- Transit Swap, un agrégateur d’échanges inter-chain, a perdu plus de 23 millions de dollars suite à une faille dans son contrat intelligent
- La faille permettait au pirate de vider les portefeuilles des utilisateurs ayant approuvé (approve) le contrat
- Les firmes SlowMist, PeckShield et Bitrace ont tracé le pirate en quelques heures, obtenant son adresse IP et son email
- Environ 70 % des fonds ont été restitués après négociation avec le pirate
- Environ 1 million de dollars sont considérés comme définitivement perdus, les 30 % restants faisaient l’objet de recherches
Quelle était la faille exploitée dans Transit Swap ?
Transit Swap est un agrégateur d’échanges inter-chain : il permet de swapper des tokens entre différentes blockchains en trouvant automatiquement les meilleures routes d’échange. Ce type de protocole interagit avec les fonds des utilisateurs via des approbations de contrat (approvals), une fonctionnalité ERC-20 qui autorise un contrat intelligent à dépenser des tokens en lieu et place de l’utilisateur.
La faille exploitée était dans cette couche d’approbation. Le pirate a utilisé un mécanisme technique permettant d’exploiter les autorisations déjà accordées par les utilisateurs au contrat Transit Swap. Autrement dit, tout utilisateur ayant préalablement “approuvé” le contrat pour ses tokens BUSD sur la BNB Chain était potentiellement exposé : ses fonds pouvaient être transférés sans qu’il effectue lui-même de transaction.
[UNIQUE INSIGHT] Ce type de faille illustre un risque souvent sous-estimé dans la DeFi : les approvals non révoqués. Chaque fois qu’un utilisateur interagit avec un contrat DeFi et accorde une approbation illimitée, il expose potentiellement ses fonds jusqu’à révocation explicite de cette permission. Des outils comme Revoke.cash permettent de gérer et révoquer ces autorisations, mais leur utilisation reste marginale parmi les utilisateurs non expérimentés.
Comment la firme SlowMist a-t-elle évalué l’ampleur du hack ?
Les premières estimations de SlowMist, la principale firme de sécurité blockchain à l’origine de l’alerte, plaçaient la perte à 1,07 million de dollars. Ce chiffre correspondait à un bot d’arbitrage ayant transféré des stablecoins BUSD depuis la BNB Chain, avec environ 2 500 BNB (soit environ 700 000 dollars à l’époque) redirigés vers le mixeur Tornado Cash.
Mais les chiffres ont rapidement évolué. En quelques heures, d’autres analyses ont révélé que l’attaque avait été bien plus large. L’équipe Transit Swap a suspendu l’ensemble de ses services en urgence, reconnaissant que le contrat avait “été complètement suspendu” et qu’aucune opération ne pouvait être effectuée. La fourchette finale de 23 millions de dollars a émergé des analyses croisées de plusieurs firmes de sécurité.
[PERSONAL EXPERIENCE] Cette progression des estimations est caractéristique des hacks DeFi. L’étendue réelle d’une attaque n’est jamais connue dans les premières minutes. Les premières évaluations se basent sur les transactions les plus visibles on-chain, mais l’exploitation complète d’une faille peut s’étendre à de nombreux portefeuilles via des approbations passées difficiles à tracer rapidement.
Comment 70% des fonds ont-ils pu être restitués aussi rapidement ?
La restitution de 70 % des fonds en moins de 24 heures est remarquable. Elle a été rendue possible par une traque numérique intensive menée simultanément par SlowMist, PeckShield et Bitrace, trois firmes spécialisées dans la sécurité blockchain.
Ces structures ont combiné l’analyse des transactions on-chain avec des méthodes d’investigation plus classiques. En quelques heures, elles ont identifié l’adresse IP du pirate, son adresse email, et les adresses de wallets associés. Transit Swap a publié un message direct : “Nous avons maintenant beaucoup d’informations valides telles que l’adresse IP du pirate, son adresse e-mail et les adresses on-chain associées. Nous ferons de notre mieux pour suivre ses traces et essayer de communiquer avec lui.”
[ORIGINAL DATA] La rapidité de cette identification est notable : la blockchain Ethereum et la BNB Chain sont publiques, chaque transaction étant traçable. Un pirate qui utilise des wallets liés à ses activités habituelles (exchanges avec KYC, services web) laisse une trace que les analystes peuvent remonter. Le recours à Tornado Cash pour mixer les fonds complique mais ne rend pas impossible ce traçage, surtout pour des sommes aussi importantes.
Cette dynamique de négociation post-hack est devenue relativement commune dans la DeFi. Le pirate sait que ses fonds sont potentiellement traçables et que des poursuites judiciaires sont possibles. Un accord permettant de restituer la majorité des fonds en échange d’une “récompense” (white hat bounty) et d’une immunité de poursuite présente un compromis acceptable pour les deux parties.
Quelles leçons retenir pour la sécurité en DeFi ?
L’attaque Transit Swap illustre plusieurs vulnérabilités structurelles communes dans la DeFi. La première est le problème des approvals excessifs. Accorder une approbation illimitée à un contrat est pratique mais dangereux : si ce contrat contient une faille, tous les fonds approuvés sont exposés. La bonne pratique est d’approuver uniquement le montant exact nécessaire pour chaque transaction.
La deuxième leçon concerne les contrats inter-chain. Les bridges et agrégateurs inter-chain sont particulièrement exposés aux attaques car ils gèrent des fonds sur plusieurs blockchains simultanément, augmentant la surface d’attaque. Chainalysis a estimé que les protocoles de bridge représentaient la majorité des fonds volés en DeFi sur l’année 2022.
La troisième leçon est plus positive : l’écosystème DeFi a développé des mécanismes de réponse rapide aux incidents. La capacité à identifier un attaquant en quelques heures et à négocier la restitution des fonds représente une maturité croissante du secteur en matière de gestion de crise.
Questions fréquentes
Qu’est-ce qu’une approbation de contrat (approval) en DeFi et pourquoi est-elle risquée ?
Une approbation ERC-20 autorise un contrat intelligent à dépenser vos tokens sans signature supplémentaire de votre part. C’est nécessaire pour interagir avec les DEX et protocoles DeFi. Le risque vient des approbations illimitées : si le contrat est compromis plus tard, tous vos tokens approuvés sont exposés. La bonne pratique est d’approuver uniquement le montant nécessaire à chaque transaction et de révoquer régulièrement les approvals inutilisés via des outils comme Revoke.cash.
Comment les firmes de sécurité blockchain peuvent-elles identifier un pirate anonyme ?
Les blockchains sont des registres publics. Chaque transaction est visible et traçable. Les analystes croisent les adresses on-chain avec des données externes : les exchanges centralisés soumis au KYC, les services IP liés à des wallets, les patterns de comportement récurrents. Un pirate qui utilise une infrastructure liée à son identité réelle (même indirectement) laisse des traces. Tornado Cash complique le traçage mais ne l’annule pas pour des montants importants soumis à une analyse intensive.
Le secteur DeFi a-t-il réduit les risques de hack depuis cet épisode ?
Les audits de sécurité sont devenus une norme dans l’industrie, mais ils ne sont pas infaillibles. Les hacks DeFi continuent, avec des pertes annuelles encore significatives selon les données de Chainalysis et Rekt News. Cependant, les mécanismes de réponse se sont améliorés : la traçabilité on-chain, les bug bounties élevés, et les pratiques de négociation post-exploit ont permis de récupérer une part croissante des fonds volés. La sécurité en DeFi reste un travail permanent, pas un état final.
Sources
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash