Toute nouvelle expérience s’accompagne de sa part d’erreurs et de maladresses. Mais quand il est question de cryptomonnaies et de la DeFi, cela peut rapidement devenir problématique. Et une faute d’inattention ou un choix dont la légèreté frôle l’inconscience se transforment en une attaque très rentable pour le petit malin qui en est à l’origine. Et il semble que cela ne serve pas de leçon…
Les attaques dans l’univers de la DeFi sont courantes et souvent très lucratives. Il faut dire que cette finance 2.0 à destination des développeurs de tous horizons est le terrain de jeu parfait. Beaucoup d’argent, trop peu de contrôles et des protocoles dont l’innovation s’accompagne de failles inévitables et exploitables. Le tout reposant sur un déséquilibre qui fait des 6 plus grosses structures de la DeFi les détenteurs de la majorité des capitaux disponibles.
Certains projets s’effondrent avant même d’avoir existé. D’autres s’installent avec des offres cohérentes et un service qui trouve sa place dans cette nébuleuse complexe de la Finance Décentralisée. C’est le cas du protocole REN qui offre un service de tokenisation du Bitcoin (BTC) et d’autres cryptomonnaies comme le Bitcoin Cash (BCH) ou l’anonyme ZEC.
RenVM et le wrapped Bitcoin
Le lancement du réseau RenVM était très attendu par la communauté Ethereum et les utilisateurs de la DeFi. Sa version finale dévoilée en mai 2020 a tout de suite rencontré un fort succès. Il faut dire que la demande en matière d’interopérabilité des blockchains est réelle et récurrente dans l’univers des cryptomonnaies.
Grâce à cela il est devenu possible d’utiliser du Bitcoin au sein de la DeFi sous la forme d’un jeton ERC20 du nom de renBTC. Le tout en conservant ses avoirs en Bitcoin, si rien de fâcheux ne leur arrive. Car leur stockage est assuré par le protocole qui les transforme.
« La façon la plus simple d’imaginer RenVM est celle d’un dépositaire qui détient vos actifs numériques lorsqu’ils se déplacent entre les blockchains. » – REN
Un portefeuille RenBTC de 100 millions de dollars
Un point mis en évidence dans une récente étude réalisée par la structure WanChain. Cette dernière révèle une faille de sécurité importante au sein du protocole REN, se présentant comme décentralisé auprès de ses utilisateurs. Le tout en relation aux « ponts » (bridges) nécessaires à cette opération de transformation des cryptomonnaies en (re)jetons de la blockchain Ethereum.
Et il semble que la décentralisation ne soit pas à l’ordre du jour en ce qui concerne la gestion du Bitcoin mis en gage pour l’obtention de leurs jumeaux ERC20. Car les recherches réalisées par la structure WanChain révèlent que plus de 9000 BTC sont actuellement détenus sur un portefeuille unique contrôlé par l’équipe en charge du projet REN. Soit plus de 103 millions de dollars au cours actuel du Bitcoin.
Une réalité qui pose le problème d’une attaque possible de ce pot de miel très attrayant, en particulier du fait de sa mise en lumière. Mais une donnée qui pose également la question de l’intégrité de l’équipe derrière le projet qui pourrait être tentée de piocher dans la caisse, voire d’effectuer un exit scam dans les règles de l’art.
Une décentralisation en cours
L’équipe du protocole REN a rapidement publié une réponse pour expliquer cette situation. Le tout condensé dans un article intitulé « la route vers la décentralisation » qui rassure autant qu’il met en lumière que rien n’est actuellement effectif dans le domaine. Cela même si l’outil RenVM est présenté comme « alimenté par des machines virtuelles décentralisées. »
Dans les faits, rien ne peut être actuellement proposé d’autre que la bonne foi de l’équipe de développement du projet. Loong Wang, responsable de l’aspect technologique chez REN, concède que tous les nœuds du protocole «Greycore» sont sous leur gestion exclusive. Il s’agit du réseau censé garantir la distribution des actifs numériques afin de réduire les risques de vols ou d’attaques. Ce dernier comporte actuellement 13 nœuds repartis dans le monde. Et selon Loong WAng au moins 5 d’entre eux devraient être compromis pour qu’une attaque puisse accéder aux fonds détenus.
Il est important de noter que les attaques malveillantes peuvent ne pas toujours prendre des formes identiques. En effet, la structure WanChain annonce à la fin de son article le lancement prochain de son offre de wanBTC décentralisé. Cela après avoir bien insisté sur l’aspect risqué de l’offre du protocole REN qui du coup en est l’un des principaux concurrents. Ce qui n’enlève rien à la réalité des faits exposés, mais permet de juger de la stratégie douteuse de ces derniers en termes de communication.