On ne change pas une équipe qui gagne – Qui dit nouvelle semaine, dit nouveau hack DeFi ! Cette fois-ci, c’est au tour du protocole IronBank (CREAM) d’essuyer 37,5 millions de dollars de pertes. Et comme d’habitude, cette attaque a été réalisée grâce à plusieurs flash loans.
Investir 15 000 dollars pour en retirer 37,5 millions
Tout a commencé le samedi 13 février, aux alentours de 9 h, quand le protocole IronBank a notifié ses utilisateurs sur Twitter qu’une faille avait peut-être été exploitée.
Cette annonce a été suivie de près par celle d’Alpha Finance Labs, protocole DeFi ayant également été victime de l’attaque.
Concrètement, le protocole IronBank a été la cible d’une hack ayant drainé 37,5 millions de dollars hors de ses pools de liquidités. Les conséquences pour le projet ont été désastreuses. En effet, en l’espace de quelques heures, le cours de la cryptomonnaie CREAM a baissé de 30 %.
Les détails de l’attaque
Les détails de l’attaque ont été révélés grâce à Igor Igamberdiev, chercheur pour le média The Block.
Selon son analyse, cette attaque a une fois de plus pu être menée à bien grâce à des flash loans.
Voici son déroulement :
- L’attaquant a créé un smart contract faisant croire à IronBank qu’il appartenait nativement à son protocole ;
- Grâce à ce contrat, l’attaquant a pu emprunter des sUSD sur IronBank, mais à un ratio augmentée de 2 fois la quantité normalement possible ;
- La démarche a été répétée à 2 reprises et, à chaque fois, les fonds empruntés ont été redéposés sur le protocole permettant à l’attaquant de générer des jetons cySUSD utilisés comme collatéral pour encore emprunter ;
- Par la suite, l’attaquant a fait un prêt supplémentaire Aave d’un montant de 1,8 millions d’USDC, échangés contre des sUSD sur Curve ;
- Ces fonds ont, une fois de plus, été déposés sur IronBank dans le but de générer plus de cyUSD ;
- Finalement, un dernier prêt de 10 millions d’USDC a été ajouté à la manœuvre ;
- À la fin, le montant démentiel de cySUSD détenu par l’attaquant lui a permis de faire un prêt de 13 200 ETH, 3,6 millions d’USDC, 5.6 millions d’USDT et 4,2 millions de DAI auprès d’IronBank.
Des fonds déjà blanchis
L’attaquant n’a pas perdu de temps une fois son prêt réel remboursé et ses bénéfices faussement générés récupérés : il s’est lancé dans une course pour blanchir ces fonds dérobés. Il a d’ores et déjà envoyé 220 ETH sur Tornado Cash pour blanchir une partie des fonds.
Plus surprenant, 1 000 ETH ont été renvoyés sur les 2 protocoles attaqués.
Cerise sur le gâteau, l’attaquant a fait don de 1 000 ETH au projet Tornado Cash via Gitcoin. 11 000 ETH restent donc encore en suspens sur le compte de l’attaquant. Les reverra-t-on un jour ? Rien n’est moins sûr.
