Et encore un hack au tableau – Nous étions à 2 doigts de finir la semaine sans un hack DeFi. C’était sans compter sur le protocole Akropolis, qui a été victime d’une attaque entraînant la perte de 2 millions de jetons DAI.
2 millions de $ dérobés sur Akropolis
Le jeudi 12 novembre, le protocole Akropolis a été victime d’une attaque. Dans les heures qui ont suivi l’attaque, les équipes du protocole ont publié un billet de blog revenant sur le déroulement de l’attaque.
Pour rappel, Akropolis fait partie de la famille des protocoles de lending qui permet à ses utilisateurs de contracter des prêts ou de générer des rendements sur les cryptomonnaies déposées.
Les équipes de Akropolis ont identifié une incohérence dans les rendements proposés par leur pool yCurve et sUSD. Très vite, les développeurs se sont rendu compte que ladite pool avait été siphonnée par des hackers de près de 2 millions de jetons DAI.
Dans les faits, l’attaque consistait en une combinaison entre une re-entrancy attack et des flash loans contractés sur dYdX.
Pour rappel, une attaque re-entrancy donne la possibilité à certaines fonctions des smart contracts d’être exécutées plusieurs fois, ce qui peut entraîner une incohérence dans les soldes des comptes si la fonction est mal utilisée… ou détournée volontairement.
C’est le même type d’attaque qui avait touché le protocole dForce en avril dernier.
Les audits ne l’avaient pas vu venir
Contrairement à de nombreux cas de hacks DeFi, les smart contracts du protocole Akropolis avaient été audités à deux reprises par deux entreprises différentes, sans qu’aucune d’elles ne remarque la faille.
« Ces pools avaient été audités par 2 sociétés indépendantes, mais les vecteurs d’attaque utilisés dans l’attaque n’ont été identifiés dans aucun des 2 audits. » – Annonce d’Akropolis
Au moment de la rédaction de cet article, les fonds dérobés se trouvent encore sur l’adresse de l’attaquant.
De leur côté, les équipes d’Akropolis explorent les moyens de rembourser les utilisateurs lésés :
« Nous ferons une proposition à la communauté avant que toute décision ne soit prise. »
Bien qu’aucune piste n’ait été pour le moment été évoquée publiquement, espérons que les équipes pourront rembourser ces pertes sans passer par le tour de passe-passe regrettable d’une émission d’un énième jeton sans valeur.
