La rentrée pour les hackers – L’écosystème des cryptomonnaies et plus particulièrement celui de la finance décentralisée est fréquemment en proie aux attaques. Sur ce terrain, aucune blockchain n’est laissée pour compte. Nereus Finance vient d’en faire l’amère expérience sur la blockchain Avalanche.
370 000$ dollar envolés sur Avalanche
Nereus Finance est un protocole dit de lending, évoluant sur la blockchain Avalanche. Celui-ci propose un marché ouvert qui met en relation épargnants et emprunteurs de manière décentralisée.
Ainsi, les épargnants déposent leurs jetons dans des réserves de liquidités en échange d’un rendement. De leur côté, les emprunteurs peuvent emprunter les fonds déposés en échange de frais. Ce sont ces frais qui servent à payer le rendement des épargnants.
Malheureusement, le 7 septembre, les équipes de l’entreprise Cerik, ont alerté d’une attaque sur le protocole Nereus Finance. Pour rappel, Certik est une entreprise spécialisée dans la sécurité blockchain.
Au total, l’attaquant a réussi à dérober 371 000 dollars en USDC dans les pools du protocole.
Que s’est-il passé ?
À l’instar de bon nombre d’attaques de protocole DeFi, celle-ci a pu être menée grâce à l’utilisation d’un flash loan.
Quelques heures après les faits, Nereus Finance est revenu sur les détails de l’attaque dans un post mortem.
En pratique, l’attaquant a utilisé un flash loan pour manipuler le prix AVAX/USDC sur Trader Joe. Une fois le prix manipulé, celui-ci a été en mesure de minter 998 000 NXUSD, avec seulement 508 000$ de collatéral.
Cette manipulation a été possible, car le calcul du prix des jetons ne présentait pas de mécanisme de protection contre les manipulations de prix au sein d’un même bloc.
Voyons ensemble les 10 étapes de l’attaque :
- L’attaquant a contracté un flash loan de 51 millions d’USDC sur Aave v3 ;
- Il a échangé 280 000 USDC contre 14 735 WAVAX sur TraderJoe ;
- L’attaquant a ajouté des liquidités à la pool USDC/WAVAX sur TraderJoe (260 000 USDC et 13 401 WAVAX) ;
- Il a échangé ses USDC restants (50M USDC) contre 505 213 WAVAX sur TraderJoe, entraînant une augmentation momentanée du prix de l’AVAX à 98$ ;
- L’attaquant a emprunté 998 000 NXUSD en échange du jeton LP qui représente ses liquidités déposées sur TraderJoe. Pour son emprunt il a profité du fait que la valeur de l’AVAX ait été artificiellement gonflée pour emprunter plus qu’il n’aurait dû pouvoir ;
- Il a finalement échangé ses différents jetons et repayé son flash loan, engrangeant un profit de 371 406$.
Réactions de Nereus Finance
Comme nous avons pu le voir, l’attaquant a été en mesure de créer plus de NXUSD que la valeur déposée en collatéral. Par conséquent, son attaque a laissé le protocole avec plusieurs milliers de dollars de mauvaise dette. Pour rappel, une mauvaise dette est une dette non collatéralisée.
Par conséquent, les équipes de Nereus Finance se sont empressées de rembourser cette mauvaise dette en utilisant la trésorerie de l’équipe.
« L’équipe va modifier ses pratiques d’audit et de sécurité afin de s’assurer que ce type d’événement ne se reproduise pas à l’avenir.»
En parallèle, Nereus Finance a tenté de contacter le hacker. Nereus lui a proposé une récompense de 20% des fonds dérobés en échange de leur restitution. Cette proposition reste pour le moment sans réponse.
Face à l’augmentation des attaques relatives à la DeFi, les experts en sécurité sont sollicités de tous les côtés. Ainsi, les auditeurs en sécurité peuvent se targuer d’avoir dans les meilleurs salaires de l’industrie.
Les hacks sont des aléas malheureux, mais pas une fatalité. Besoin de tranquillité d’esprit pour vos cryptos ? Inscrivez-vous vite sur la plateforme Binance, LA référence absolue du secteur, et économisez 10% sur vos frais de trading en suivant ce lien (lien commercial).
