La crypto-monnaie Beanstalk a été dépouillée de réserves évaluées à plus de 180 millions de dollars (138 millions de livres sterling) en quelques secondes, après qu’un attaquant a utilisé de l’argent emprunté pour obtenir suffisamment de droits de vote pour transférer l’argent.
La prise de contrôle hostile éclair soulève de nouvelles questions sur la nature non réglementée des monnaies numériques et le manque de protection des investisseurs.
Se décrivant comme un « protocole stablecoin basé sur le crédit décentralisé », Beanstalk propose une crypto-monnaie, appelée beans, destinée à avoir une valeur stable de 1 $ par pièce. Il fonctionnait en fait comme une banque, permettant aux épargnants (« producteurs de haricots ») de faire des dépôts (de « haricots » dans un « champ ») et d’utiliser leurs économies pour s’assurer que la valeur d’un seul haricot restait aussi proche que possible de 1 $.
D’autres ont été encouragés à déposer des crypto-monnaies telles que l’éther dans un «silo» pour constituer les réserves du stablecoin en échange de droits de vote sur le fonctionnement de l’organisation. Dimanche soir, un tel vote a abouti au transfert de l’ensemble du silo de Beanstalk, d’une valeur d’environ 182 millions de dollars aux taux du marché, hors de l’organisation.
Un attaquant encore non identifié avait emprunté 80 millions de dollars en crypto-monnaie et les avait déposés dans le silo du projet, obtenant en échange suffisamment de droits de vote pour pouvoir adopter instantanément toute proposition. Avec ce pouvoir, ils ont voté pour transférer le contenu du trésor à eux-mêmes, puis ont restitué les droits de vote, retiré leur argent et remboursé le prêt – le tout en quelques secondes.
« Cela ressemble beaucoup à un raid d’entreprise hostile financé par des obligations de pacotille – sauf qu’il s’est terminé en 10 secondes », a déclaré David Gerard, l’auteur de Attack of the 50 Foot Blockchain. « Sur les marchés réglementés, nous avons des lois et des réglementations sur la façon dont vous pouvez reprendre une entreprise et la drainer, mais il n’est pas clair que cette action était illégale. Même le projet admet que le raider a agi selon les règles établies par Beanstalk.
Stephen Diehl, un expert en crypto-monnaie, a déclaré que l’attaque se situait dans une zone grise. « Il est possible pour quelqu’un d’acheter pratiquement toutes les actions de l’organisation. Dans le monde normal de l’entreprise, ce serait illégal parce que c’est du détournement de fonds et de l’initié. Cependant, avec un DAO [decentralised autonomous organisation], il existe fondamentalement en dehors de tout périmètre réglementaire – donc fondamentalement, tout est permis et le code dicte tout. C’est techniquement « légal » dans un certain sens, mais c’est une zone très grise. »
« Honnêtement, je ne sais pas quoi taper », ont déclaré dimanche les cofondateurs du projet dans un message Discord annonçant les pertes. « Nous sommes baisés. Ce projet n’a bénéficié d’aucun soutien de capital-risque, il est donc très peu probable qu’il y ait une sorte de renflouement à venir.
Cependant, ils ont contesté l’affirmation selon laquelle, parce que l’attaque exploitait les procédures de gouvernance, elle était techniquement légale. « Plus tôt ce matin, dès que nous avons appris l’attaque, nous avons contacté le FBI et informé le centre de la criminalité sur Internet du FBI de l’attaque », ont-ils écrit. « Nous avons l’intention de coopérer pleinement avec le FBI pour retrouver les auteurs et, espérons-le, récupérer tout ce qui a été volé. »
Immédiatement après l’attaque, la valeur des haricots a « cassé la cheville », s’échangeant pour beaucoup moins que le jeton de 1 $ qui était censé être la valeur stable. Cependant, lundi, la valeur du stablecoin n’avait pas atteint zéro et était d’environ 0,12 $, car certains commerçants achetaient volontairement des haricots, pariant qu’un plan de sauvetage arriverait pour reconstruire la trésorerie du projet et restaurer la cheville.
