Grosse frayeur sur Avalanche (AVAX) – 3,2 millions partis en poudreuse en l’espace d’1 h sur Zabu

C’est aussi la rentrée pour les hackers – En parallèle avec son essor, l’écosystème de la DeFi demeure gangrené par les hackers. Ces derniers ciblent tout type de protocoles présentant des failles, et ce, quelle que soit la blockchain qui les héberge.

Une perte colossale sur Avalanche

Zabu Finance est un protocole de yield farming tout ce qu’il y a de plus commun, hébergé sur la grandissante blockchain Avalanche (AVAX). Le 11 septembre dernier, les équipes du protocole ont averti la communauté, via Twitter, que le protocole avait été la cible d’une attaque.

Publication Twitter de Zabu Finance annonçant qu'il a été la cible d'une attaque
Publication de Zabu Finance – Source : Twitter

Au moment des faits, Zabu Finance ont sollicité l’aide des équipes d’Avalanche ainsi que celles des principaux protocoles de la plateforme, à savoir Pangolin et Joe Trader, pour mener l’enquête.

« Le portefeuille de l’équipe Zabu n’a pas vendu un seul zabu. Nous sommes victimes d’un exploit, probablement de la pool Spore. Nous enquêtons sur cet exploit. Besoin d’aide, Pangolin, Trader Joe, Avalanche. »

Publocation de Zabu Finance

Au total, l’attaquant a réussi à siphonner l’équivalent de 3,2 millions de dollars en actifs numériques via Spore Pool. D’après les informations rapportées par nos confrères de Coin Telegraph, cette pool détenait les jetons suivants : 

  • 402,9 WETH ;
  • 23 157 WAVAX ;
  • 21 501 PNG ;
  • 106 848 AVE ;
  • 361 267 USDT ;
  • 23 958,93 JOE.

>> Anticipez le prochain cycle de croissance de Bitcoin en vous inscrivant sur la plateforme de référence Swissborg <<

Une faille malheureusement déjà connue ? 

Suite à leurs investigations, les équipes de Zabu ont réussi à identifier le mode opératoire de l’attaquant. 

En réalité, ce dernier a tiré parti de la présence d’un « reflect token » dans l’un des pools du protocole Zabu. Pour rappel, ces jetons disposent de frais supplémentaires lors des transferts. Malheureusement, les mécanismes derrière ce jeton n’étaient pas pris en charge par le protocole Zabu. De ce fait, l’attaquant a déposé et retiré plus de 40 fois ses jetons ce qui lui a permis de frapper 4,5 milliards de jetons ZABU, qu’il s’est empressé de revendre sur les exchanges décentralisés Pangolin et Joe Trader.

Sans surprise, ce dernier a ensuite retiré les fonds sur Ethereum, avant de les envoyer sur Tornado cash pour les rendre intraçable.

Sans surprise, la vente massive de ces jetons a divisé le prix du ZABU par 400, en le faisant passer de 0,004 à 0,00001 dollar en l’espace d’1 h.

Cours de Zabu face au dollar en unité de temps journalière montrant une chute ahurissante après l'attaque
Cours de Zabu face au dollar (1H) – Source : CoinGecko

Suite à cela, les équipes de Zabu ont largement incité leurs utilisateurs à retirer leurs fonds des différentes pools afin de s’assurer que ces derniers soient en sécurité. 

Un point reste cependant fâcheux. En effet, les équipes ont directement annoncé que l’attaquant avait tiré parti de la « taxe de transfert » présente sur le jeton SPORE pour mener son attaque, en utilisant le même mécanisme utilisé pour exploiter les protocoles PolyYeld et Garudaswap.

Bref, il semblerait l’attaque aurait pu être évitée, si les équipes de Zabu s’étaient informées sur la manière dont PolyYeld et Garudaswap avaient été attaqués.

Compensation et suite des évènements

Au lendemain du hack, les équipes ont dévoilé le plan qui serait mis en œuvre pour compenser les utilisateurs victimes de l’attaque. 

Elles ont fait le choix de réaliser un snapshot de l’état du protocole avant le hack.

« Le plan est de prendre un snapshot juste avant l’exploit (pré-hack). Pourquoi ?

1. Les personnes qui ont perdu de l’argent sont pour la plupart des personnes qui étaient là avant le piratage.

2. Il y a des gens qui n’ont pas perdu d’argent et qui ont acheté lors du dip causé par le hack. »

Publication de Zabu Finance sur Twitter

En parallèle, un second plan est mis en place visant, quant à lui, les personnes ayant acheté des jetons lors du dip de celui-ci.

« Cependant, il y a des gens qui ont perdu de l’argent et qui ont racheté. Nous cherchons donc une solution pour protéger les gens (avant le piratage), mais aussi pour soutenir les personnes qui ont acheté après le piratage :

1. Faire un snapshot pré-hack et distribuer Zabu V2.

2. Redémarrer la ferme V2 avec une pool Zabu V1. »

Publication de Zabu Finance sur Twitter

Au final, les personnes ayant perdu de l’argent lors du hack se verront distribuer de nouveaux jetons. De leur côté, ceux qui ont acheté des jetons à la suite du hack pourront participer aux pools de Zabu V2, en stakant les jetons achetés après le hack. 

Heureusement pour Avalanche, le réseau ne connaît pas seulement de mauvaises nouvelles. En effet, l’agrégateur d’exchanges décentralisés Paraswap vient d’annoncer sa migration sur le réseau Avalanche et permettra aux utilisateurs d’accéder aux liquidités de 13 DEX.

Amateur de Bitcoin et de crypto ? Jusqu’à 100€ en cryptomonnaies vous attendent (sous réserve d’un dépôt minimum de 50€) ! Profitez de cette offre, tout en soutenant le travail du Journal du Coin en utilisant ce lien affilié pour vous inscrire sur la plateforme de référence Swissborg (voir conditions de l’offre sur le site officiel).

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.