Encore un hack dans l’univers de la DeFi – Nous commençons à prendre le pli. Une nouvelle plateforme de la DeFi a été la cible non pas d’une, ni de deux, mais bien de 5 attaques consécutives. Baptisé ForceDAO, le protocole n’aura tenu que quelques heures après son lancement avant d’être attaqué.
5 attaques pour le prix d’une
Comme son nom l’indique, ForceDAO est une organisation décentralisée autonome (decentralized autonomous organization). Fraichement lancée sur Ethereum, celle-ci souhaite – enfin souhaitait – tirer parti des hauts rendements proposés par divers protocoles DeFi, tout en maximisant ce revenu grâce à des stratégies proposées par la communauté.
Initialement, ForceDAO a choisi de distribuer son jeton FORCE de manière communautaire et égalitaire, via un airdrop destinés aux utilisateurs ayant des fonds sur l’un des protocoles suivants : Aave, Alchemix, Badger, Balancer, Curve, Maker DAO, Synthetix, Sushi, Vesper, et Yearn Finance.
Malheureusement, quelques heures après l’airdrop initié le 4 avril, le protocole a été la cible de 5 attaques différentes, entraînant le cours de son jeton dans les abysses, avec une chute de 90 %.
Malheureusement pour les utilisateurs, l’airdrop a été mis en pause jusqu’à ce que la situation revienne à la normale.
Mais que s’est-il passé ?
Très rapidement, les équipes de ForceDAO ont publié un retour détaillé sur le déroulement des différentes attaques qui ont ciblé le protocole.
Tout d’abord, revenons sur la faille qui a permis ces attaques. Celle-ci s’est basée sur les différences d’implémentation de 2 composants de ForceDAO :
- Les xFORCE : des coffre-forts dont le code a été emprunté à Sushiswap. Ces derniers inverse les transactions si celle-ci échouent ;
- Le jeton FORCE, qui est un jeton Aragon Minime. L’implémentation affiche la valeur « faux » lorsqu’un transfert échoue.
Ainsi, les attaquants ont profité de cette différence d’implémentation comme l’explique le post mortem :
« Les attaquants ont pu déposer des jetons FORCE qui échouaient à l’appel transferFrom et recevoir des jetons xFORCE, car le contrat xFORCE attend un retour du jeton, mais reçoit au contraire la valeur ‘faux’. »
De ce fait, les attaquants se sont retrouvé avec des jetons xFORCE, sans avoir déposé de jetons FORCE. Par la suite, les jetons xFORCE ont été échangés contre les jetons FORCE, drainant l’ensemble des liquidités de la pool.
5 attaquants, dont un héro
Comme nous l’avons vu, un total de 5 attaquants ont exploité la faille en l’espace de quelques minutes. Heureusement pour ForceDAO, l’un de ces attaquants n’était autre qu’un whitehat (un hacker n’ayant pas de mauvaises intentions). Celui-ci fut le premier à passer à l’action et a tenté tant bien que mal de mettre les fonds à l’abri d’autres attaquants.
Malheureusement, les 4 attaquants suivants ont eux exploité le protocole et ont réussi à drainer l’équivalent de 183 ETH, soit environ 376 000 dollars, depuis les pools du protocole.
Finalement, les équipes de ForceDAO est parvenu à récupérer le contrôle et à brûler l’ensemble des FORCE que les attaquants n’avaient pas réussis à liquider sur les marchés publics.
Face à ce lancement raté, les équipes de ForceDAO ont annoncé qu’un nouveau lancement serait fait, avec un nouveau jeton FORCE, venant remplacer l’ancien. Quoi qu’il en soit, ces attaques n’auront pas calmer l’engouement autour du projet.
