Nouveau jour, nouveau hack – Les cryptomonnaies et plus particulièrement l’écosystème DeFi sont souvent en proie aux attaques. Dans certains cas, les montants dérobés peuvent atteindre des sommes astronomiques. C’est ce que vient d’apprendre à ses dépens le protocole New Free DAO sur la BNB Chain. En effet, celui-ci a été la cible d’une attaque par flash loan.
New Free DAO : 1,25 million $ volés dans une attaque flash loan
Jeudi 8 septembre au petit matin, plusieurs entreprises spécialisées dans les audits et la sécurité blockchain ont relevé la même attaque. Ainsi, tour à tour, Certik, Peckshield et Beosin ont alerté qu’une attaque était en cours sur le protocole New Free DAO.
En pratique, New Free DAO (NFD) est un jeton lancé sur la BNB Chain le 26 août dernier. Peu d’informations sont disponibles concernant ce sujet, pas de site, pas de compte Twitter, rien. Et pourtant, celui-ci a tout de même réussi à atteindre une liquidité de 1,8 million de dollars le 30 août sur DexGuru.
Au total, l’attaquant a réussi à dérober l’équivalent de 1,25 million de dollars en cryptomonnaies.
Déroulement de l’attaque
Peu de temps après les faits, la société d’audit et de sécurité Certik a publié un rapport revenant sur le déroulement de l’attaque.
Pour ce faire, l’attaquant a dans un premier temps déployé un contrat malveillant. Il s’est ensuite ajouté à la liste des membres du contrat en utilisant la fonction addMember().
Par la suite, il a contracté un flash loan de 250 WBNB (72 409$) pour initier son attaque. Les WBNB ont ensuite été échangés contre 6,3 millions de NFD.
Une fois les NFD en sa possession, il les a envoyés vers un contrat NFD non vérifié. Cet envoi a déclenché un contrat de récompense sur le protocole.
Par conséquent, le protocole a distribué par erreur 525 283 jetons NFD. L’attaquant a ensuite répété plusieurs fois la manœuvre, pour un butin total de 343 millions de jetons NFD.
Évidemment, celui-ci s’est empressé de revendre les jetons, engendrant une chute violente du cours.
Cause de l’attaque
Sans surprise, cette attaque a été possible, car le code du contrat disposait d’une faille. En effet, le calcul des récompenses prend en compte le temps ainsi que le montant de jetons détenus.
Cependant, ce code ne se protège en aucun cas de l’utilisation de flash loan, comme expliqué dans le rapport de Certik :
« Cependant, il n’y a pas de garde-fou empêchant les attaques par flash loan, ce qui signifie qu’un attaquant peut augmenter son solde de jetons de manière significative via un flash loan. »
Évidemment, l’attaquant a rapidement fait transiter les fonds dérobés par le protocole DeFi Tornado Cash dans le but de brouiller les pistes.
Un groupe de hackers récidivistes sur la DeFi ?
Dans son analyse, Certik a également découvert un autre fait intéressant. En effet, après son attaque, l’attaquant ou le groupe d’attaquants, a déplacé les fonds vers une autre adresse.
Cependant, cette adresse avait déjà été utilisée pour récupérer des fonds dérobés dans le cadre de l’attaque du protocole NeorderDAO. Ainsi, en mai dernier le même attaquant avait été impliqué dans le hack du protocole.
Plus récemment, le 2 septembre c’était au tour de ShadowFi d’être la victime d’une attaque, comme l’a souligné PeckShield sur Twitter. Au total 301 000$ ont été dérobés. Une fois de plus, des adresses liées à l’attaquant de NeorderDAO sont ressorties.
« L’attaquant est étiqueté comme le hacker de NeorderDAO dans notre base de données interne. Les fonds volés ont déjà été transférés vers TornadoCash. »
Ainsi, ces trois attaques ont un dénominateur commun, amenant le total de l’attaquant ou du groupe à 1,8 million de dollars.
La veille de l’attaque de New Free DAO, c’est le protocole Nereus Finance qui a fait les frais d’une attaque flash loans sur Avalanche. Au total, l’attaquant a dérobé l’équivalent de 370 000$.
Les hacks sont des aléas malheureux, mais pas une fatalité. Besoin de tranquillité d’esprit pour vos cryptos ? Inscrivez-vous vite sur la plateforme Binance, LA référence absolue du secteur, et économisez 10% sur vos frais de trading en suivant ce lien (lien commercial).
