Des actifs de plusieurs millions de caractères ont disparu, suscitant des doutes sur la mauvaise gestion financière de Multichain
TechFlow SélectionTechFlow Sélection
Des actifs de plusieurs millions de caractères ont disparu, suscitant des doutes sur la mauvaise gestion financière de Multichain
L'utilisation des fonds des comptes gérés par les plateformes de pontage fait l'objet d'un examen.
Dédié à des analyses Web3 approfondies
Auteur :Alexandre Gilbert
Selon L2 Beat, un projet de recherche analysant l'espace des blockchains de niveau 2, Multichain, une plateforme de ponts inter-chaînes détenant environ 1 milliard de dollars d'actifs verrouillés, a transféré près de 80 millions de dollars en stablecoins et 300 bitcoins, des mouvements anormaux désormais soumis à examen.
L2 Beat affirme que Multichain a déplacé plusieurs millions de dollars provenant des fonds utilisateurs détenus en dépôt de garantie afin d’assurer la liquidité ailleurs sur son réseau, ce qui soulève des questions publiques quant à l'objectif de ces transferts. Aucun média n’avait rapporté auparavant ces mouvements ni l’enquête de L2.
Contrat social
Bartek Kiepuszewski, chercheur chez L2 Beat, a déclaré à The Defiant : « Étant donné qu’il s’agit de l’argent des utilisateurs, le fait que Multichain déplace des fonds relève soit d’un accord implicite avec les utilisateurs sur cette chaîne, soit d’une violation du contrat social entre eux et les utilisateurs. »
La majorité des pertes massives de cryptomonnaies attribuées à des piratages cette année ont eu lieu sur des ponts inter-chaînes, qui permettent techniquement aux utilisateurs de transférer des actifs numériques entre différentes blockchains.
La raison est claire : la technologie des ponts inter-chaînes est complexe, offrant davantage de vecteurs d’attaque aux pirates. De plus, ils constituent un point de défaillance unique : les contrats intelligents verrouillent les fonds des utilisateurs en dépôt de garantie, tandis que des « actifs transférés » – essentiellement des reconnaissances de dette – sont émis sur la chaîne cible.
Une énigme
C’est pourquoi lorsque les chercheurs de L2 Beat ont approfondi leur analyse de Multichain et découvert une menace manifestement interne, ils en ont été surpris.
Bartek Kiepuszewski précise que, puisqu’il s’agit de l’argent des utilisateurs, les transferts effectués par Multichain doivent soit être approuvés par les utilisateurs concernés, soit constituer une rupture du contrat social avec eux.
Selon Kiepuszewski, bien que les déplacements d’actifs depuis les comptes de dépôt soient visibles sur la blockchain, la destination finale de ces actifs reste inconnue.
L2 Beat indique que Multichain affirme que ces actifs ont été utilisés pour fournir de la liquidité ailleurs sur son réseau, mais il est difficile de confirmer si cette affirmation est exacte.
Michael Lewellen, responsable des solutions chez Open Zeppelin, société de sécurité cryptographique, affirme que cette pratique pose effectivement problème.
« S’il n’existe aucune méthode claire pour vérifier que les actifs soutenant les affirmations du pont inter-chaînes se trouvent bien dans un endroit publiquement vérifiable, alors je pense que nous devons porter une attention particulière à ce pont », a-t-il déclaré à The Defiant.
Les observations de L2 remettent en question les pratiques opérationnelles et sécuritaires d’une organisation détenant plus d’un milliard de dollars en fonds utilisateurs. Multichain relie des dizaines de blockchains et prend en charge le transfert de milliers d’actifs. Confirmer que Multichain possède toujours ces cryptomonnaies, qu’elles n’ont pas été volées ou mises en jeu dans des protocoles DeFi, serait une tâche ardue.
De nouveaux doutes
En outre, ces accusations pourraient susciter de nouvelles inquiétudes du public concernant la technologie des ponts inter-chaînes, qui a déjà subi d’énormes pertes cette année suite à des attaques.
D’après le classement des exploits de Rekt, trois des cinq plus grandes attaques de l’histoire du secteur cryptographique figurent parmi celles survenues cette année, et toutes trois ciblaient des ponts inter-chaînes. Plus de 600 millions de dollars ont été volés sur Ronin Network. Près de 600 millions de dollars ont disparu du pont Binance. Plus de 300 millions ont été dérobés via le pont Wormhole.
Multichain n’a pas répondu à plusieurs demandes de commentaires envoyées via l’adresse e-mail indiquée sur son site web.
Hypothèses de sécurité
Cette section met en lumière le rôle joué par L2 dans l’analyse de l’espace d’extension des blockchains. Lorsque le protocole de prêt-emprunt Maker a envisagé de s’étendre vers des blockchains de niveau 2 telles qu’Optimism et Arbitrum, il avait besoin d’une meilleure compréhension du fonctionnement de ces blockchains.
Ce projet initial s’est finalement détaché de Maker pour devenir L2 Beat — un site web recensant plusieurs blockchains de niveau 2, le volume de fonds qu’elles détiennent et leurs hypothèses de sécurité.
Ce mois-ci, le projet s’est étendu avec le lancement d’un tableau dédié aux protocoles de ponts. À côté de Multichain, le deuxième plus grand protocole de pont inter-chaînes au monde, l’équipe de L2 Beat a ajouté un petit bouclier jaune avec un point d’exclamation, avertissant les utilisateurs d’un soupçon de comportement inapproprié.
Kiepuszewski explique : « Le fonctionnement de chaque pont inter-chaînes est plus ou moins similaire : l’utilisateur envoie ses actifs vers une adresse, et de “nouveaux” actifs sont frappés sur la chaîne cible par des validateurs. Si l’utilisateur souhaite ramener ses actifs vers la chaîne initiale, il doit procéder inversement : il brûle les actifs sur la chaîne cible, et les validateurs doivent alors libérer les actifs depuis l’adresse de dépôt initial. »
Réseau de liquidité
Les protocoles de ponts inter-chaînes qui ne peuvent pas frapper de nouveaux actifs sur la chaîne cible utilisent une méthode appelée « réseau de liquidité ». Des fournisseurs de liquidité déposent des actifs dans des pools de liquidité sur la chaîne cible. Ces actifs sont disponibles pour les utilisateurs qui traversent le pont ; quand ces derniers retirent leurs actifs initiaux, ceux-ci retournent au pool de liquidité.
Selon L2 Beat, Multichain relie des dizaines de blockchains et utilise les deux méthodes de pont inter-chaînes mentionnées ci-dessus, selon les cas : frappe d’actifs ou création de pools de liquidité.
Kiepuszewski affirme avoir contacté Multichain, dont un représentant lui a expliqué que les cryptomonnaies avaient été utilisées pour alimenter des pools de liquidité inter-chaînes.
« Ils prétendent que cela ne pose aucun problème car les fonds restent dans l’écosystème Multichain, et que, selon eux, les utilisateurs devraient toujours pouvoir retirer le montant nécessaire », explique Kiepuszewski. « Mais réaliser un audit devient maintenant extrêmement compliqué, car vous devez analyser l’ensemble de l’écosystème Multichain, n’est-ce pas ? »
Lewellen, d’Open Zeppelin, partage cet avis. « Même dans le cas d’un réseau de liquidité, il existe au moins une méthode pour examiner les différents pools de liquidité (créés par les fournisseurs) sur diverses chaînes, et vérifier que les actifs émis par le pont correspondent à certains pools de liquidité ailleurs. »
Lewellen et Kiepuszewski conviennent tous deux que la mise en place d’un tableau montrant le trajet des fonds utilisateurs aiderait grandement à apaiser les inquiétudes sur la circulation des actifs cryptographiques.
Vulnérabilités logicielles
Kiepuszewski indique qu’une nouvelle question surgit lorsqu’on évalue si Multichain est un endroit sûr pour stocker des fonds. Habituellement, les audits cherchent à détecter d’éventuelles vulnérabilités logicielles. Désormais, les utilisateurs se demandent aussi si Multichain peut faire confiance pour y déposer leurs fonds.
Même si les fonds sont correctement conservés, leur retrait rapide pourrait s’avérer difficile. Lewellen ajoute que cela révèle également un autre problème propre à Multichain : les actifs Dai présents sur le pont Fantom semblent inférieurs au nombre de Dai que Multichain aurait dû frapper sur Fantom.
Situation floue
Selon L2 Beat, plus de 52 millions de dollars en Dai ont été transférés vers la blockchain de niveau 1 Fantom, et ces actifs auraient été retirés des dépôts par les validateurs de Multichain.
Selon Lewellen, si le Dai perdait sa parité avec le dollar et que les détenteurs de Dai sur Fantom voulaient les convertir en dollars, ils pourraient subir de lourdes pertes en tentant de localiser et transférer les Dai supposément détenus en dépôt.
Il ajoute : « Cette situation ne se produira peut-être pas immédiatement, mais si ces facteurs s’alignent d’une manière défavorable à Multichain, elle pourrait se produire. Je pense que c’est là que réside l’inquiétude finale : on ne sait tout simplement pas comment Multichain gère ce risque. »
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
