Analyse d’un Rapport d’AMLBot sur les Échanges de Gel d’USDT
Un nouveau rapport d’AMLBot met en lumière un décalage significatif entre les promesses des échangeurs de geler les USDT associés à des adresses malveillantes et la réalité de cette mise en œuvre. En effet, le rapport révèle que l’exécution des gelages de la stablecoin USDT de Tether a été lente depuis 2017, entraînant une perte d’au moins 78 millions de dollars pour des acteurs malveillants opérant sur les réseaux Ethereum et Tron.
Vulnérabilité du Contrat Multi-Signature
Cette vulnérabilité opérationnelle provient de la configuration du contrat multi-signature de Tether. Lorsqu’une demande de gel est formulée, elle doit obtenir plusieurs signatures avant d’être exécutée, ce qui crée une « fenêtre d’opportunité » permettant aux acteurs illicites de transférer des fonds avant que leur adresse ne soit gelée. Par exemple, le rapport a révélé un délai de 44 minutes entre la demande de gel et sa confirmation sur le réseau Tron.
Selon AMLBot, environ 49,6 millions de dollars ont été retirés par des acteurs malveillants sur Tron depuis 2017 en raison de cette faille. Les portefeuilles concernés ont pu effectuer jusqu’à trois transactions pendant cette période de délai, avec 4,88 % des portefeuilles listés étant exploités durant cet intervalle. En parallèle, sur Ethereum, 28,5 millions de dollars de USDT ont été retirés durant la même période, portant le total à 78,1 millions de dollars sur les deux réseaux.
Confirmation par PeckShield
La société de sécurité PeckShield a également analysé le rapport et confirmé l’existence de cette vulnérabilité.
« Cela n’indique pas nécessairement un problème avec le contrat lui-même, mais plutôt un souci opérationnel qui engendre un décalage entre le moment où la transaction de liste noire est soumise et celui où elle est exécutée, »
a déclaré un porte-parole de PeckShield à Decrypt.
« Étant donné la nature critique de ce problème, des améliorations sont clairement nécessaires. »
Impact sur Tether et Propositions d’Amélioration
Tether, l’émetteur de l’USDT, la plus grande stablecoin du marché des cryptomonnaies, s’efforce de maintenir un taux de change stable avec le dollar américain. L’entreprise met sur liste noire les adresses impliquées dans des activités illégales, comme celles associées au vol de 1,4 milliard de dollars sur Bybit au début de l’année. Être sur liste noire implique que l’adresse concernée ne peut plus transférer les actifs émis par Tether, rendant ainsi les tokens inopérants.
Cependant, AMLBot souligne que les acteurs malveillants semblent être au courant de cette vulnérabilité et développent des outils pour en tirer parti.
« Des outils peuvent être programmés pour surveiller la blockchain pour des interactions de contrat spécifiques, comme les demandes de gel, »
a déclaré Slava Demchuk, PDG d’AMLBot, à Decrypt.
« Ces bots peuvent alerter les propriétaires de portefeuilles au moment où un gel est initié, mais avant qu’il ne soit appliqué, ce qui donne une fenêtre étroite mais critique pour le transfert rapide des fonds. »
« Bien que nous n’ayons pas observé directement ces bots, le comportement en chaîne suggère fortement l’existence d’une telle automatisation, »
a-t-il ajouté. PeckShield a averti que ce décalage est inhérent à la conception des comptes multi-signatures. En d’autres termes, il faut du temps pour que plusieurs personnes signent une transaction, même si cela est parfois nécessaire pour renforcer la sécurité. L’entreprise a proposé que Tether envisage de grouper la demande de gel avec les signatures en une seule transaction afin d’éliminer cette période de latence.
Tether n’a pas encore répondu à la demande de commentaire de Decrypt au moment de la publication, et cet article sera actualisé dès réception de sa réponse.
