La folle vie de Eminence.finance – à peine dévoilé, 15 millions piratés… et 8 remboursés !

La charrue avant les bœufs ? – Eminence.finance est un nouveau projet de l’écosystème DeFi. Créé par Andre Cronje, à l’origine de yEarn, le protocole a été exploité quelques heures après le déploiement de son smart contract. 

Eminence.finance

Chaque jour, la finance décentralisée est témoin de la naissance de nouveaux projets. Hier, c’est le mystérieux Eminence.finance qui a vu le jour via Twitter. 3 publications ont été postées sur la page Twitter d’Eminence.

Des images représentant « Spartans », « Marines » et « Harlequins » ont été publiées. Il n’aura pas fallu plus pour que la communauté cherche à percer le mystère.

Après le retweet d’Andre Cronje, de nombreux internautes ont été mis sur la piste. Très vite, ils se sont rendu compte que le smart contract d’Eminence (EMN) avait été déployé par le même déployeur que yEarn. De toute évidence, Eminence.Finance était le nouveau projet d’Andre Cronje, le créateur de yEarn.

Alors même que le projet n’avait pas de site internet, des utilisateurs se sont rués sur les smart contracts et ont déposé plus de 15 millions de dollars sur le protocole dans l’objectif de créer des jetons EMN.

Tout juste déployé, déjà exploité

Comme à son habitude, Andre Cronje a suivi son adage « I test in prod », en déployant le smart contract d’un projet non finalisé directement sur le mainnet.

Cependant, ce dernier était loin de s’imaginer que des internautes iraient jusqu’à déposer des liquidités sur ledit smart contract. Évidemment qui dit « test in prod » dit qu’il n’y a pas eu d’audit et que des vulnérabilités sont peut être présentes.

C’était malheureusement le cas. Un hacker a réussi à exploiter une faille lui permettant de siphonner l’intégralité des 15 millions de dollars déposés sur le protocole.

 

Transaction du hack – Source : Etherscan

L’attaquant a finalement renvoyé la moitié de son butin (8 millions de dollars) au déployeur du smart contract pour partiellement rembourser les comptes lésés.

Finalement, Andre Cronje s’est exprimé sur Twitter après toutes ces mésaventures.

https://twitter.com/AndreCronjeTech/status/1310763506170499072

Il y présente Eminence, un jeu « multiverse » basé sur des NFT (Non Fungible Tokens), dont le développement devait durer encore 3 semaines.

Il y explique brièvement le hack :

« Vers 3 h du matin, j’ai reçu un message m’informant que (a) près de 15 millions avaient été déposés dans les contrats, (b) que les contrats avaient été exploités pour la totalité des 15 millions et (c) que 8 millions avaient été envoyés sur mon compte ‘yearn : deployer’. »

Malgré tout, Andre Cronje a préféré prendre ses précautions en rappelant aux utilisateurs de ne pas déposer leurs fonds dans un protocole non audité, avant même que celui-ci n’ait été officiellement lancé :

« Je vais également continuer à déployer des contrats d’essai. J’ai plus d’une centaine de contrats déployés, dont probablement plus de la moitié présentant des vulnérabilités. Veuillez attendre les annonces officielles. »

Le nouveau projet de Andre Cronje, un jeu de cartes à collectionner crypto, devrait voir le jour dans les semaines à venir.

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.