Braquage à l’italienne sur Ethereum – Comment voler 761 000 $ en un clic !

La DeFi d’Ethereum est mise à mal – L’écosystème de la finance décentralisée vient d’être témoin d’un énième hack. Ainsi, le protocole d’assurance DeFi Opyn a été exploité, entraînant la perte de 371 260 USDC… et potentiellement d’un millier d’ETH.

Notre avis sur Ethereum (ETH) »

Une faille dans le système

Hier, mardi 4 août, aux alentours de 9 h 40, le protocole Opyn a été victime d’une attaque entraînant de lourdes pertes.

Le compte Twitter DefiPrime a été l’un des premiers à avertir les internautes d’une attaque possible sur le protocole : en effet,  des utilisateurs se plaignaient d’une perte de leurs fonds.

🚨 Looks like something happening with Opyn 🚨

At least one user reported funds missing during this incident. pic.twitter.com/41JbpxigPT

— defiprime (@defiprime) August 4, 2020

Une annonce officielle de la part d’Opyn a suivi, validant la thèse du hack.

« Il semble qu’il y ait eu un problème avec certains contrats Tokens. Nous travaillons dur pour comprendre ce problème afin de pouvoir aider les utilisateurs du mieux possible. Entre-temps, nous avons retiré les liquidités d’Uniswap. Il serait préférable de ne pas ouvrir de nouveaux vaults [Opyn] pour le moment. », Annonce d’Opyn sur Twitter

Le butin est colossal. Au total, le hacker a réussi à siphonner 371 260 USDC, ainsi que 100 à 1 000 ETH – le chiffre exact n’ayant toujours pas été déterminé. De ce fait, le montant total du hack se situe dans une fourchette allant de 410 000 à 761 000 $.

Flash loans : la bête noire de la DeFi

Peu d’informations sont disponibles sur les détails du hack au moment de la rédaction. Cependant, il semblerait que celui-ci ait pu être mené grâce à l’utilisation d’un flash loan. L’histoire semble se répéter : bien que ces derniers n’aient probablement pas directement permis l’attaque, ils ont surtout donné à l’attaquant l’occasion d’accéder aux fonds nécessaires pour la mener à bien.

Ainsi, l’attaquant aurait profité d’une faille sur le contrat Opyn ETH Put. Celle-ci lui a permis de récupérer à la fois les fonds assurés, ainsi que les ETH collatéralisés servant d’assurance.

Suite à l’attaque, les équipes d’Opyn se sont empressées de retirer l’ensemble des liquidités présentes sur Uniswap dans le but de diminuer les pertes.

« Au moment de ce post, nous avons trouvé 371 260 USDC qui ont été volés de ces contrats, mais ce montant pourrait changer au fur et à mesure que notre enquête se poursuit. 439 170 USDC provenant de coffres-forts en suspens ont été récupérés grâce à un piratage d’urgence que l’équipe Opyn a mené afin d’atténuer les pertes supplémentaires. », Rapport publié par Opyn

Afin d’assurer la liquidité pour les détenteurs de ETH oToken Put, Opyn a lancé une offre de rachat de ces jetons à un prix 20 % supérieur au cours actuel.

Leurs équipes travaillent conjointement avec Alejo Salles et Andres Bachfischer d’Open Zeppelin dans le but d’identifier la faille et de la corriger dans les plus brefs délais. De nouveaux audits de sécurité seront réalisés dans le but de regagner la confiance des utilisateurs.

La piste d’Emiliano Bossani

D’après Emiliano Bossani, une erreur dans la conception du contrat serait à l’origine de cette faille. Ainsi, lors de l’utilisation d’ETH en tant que collatéral (ce n’est pas le cas pour les ERC-20), un utilisateur a la possibilité d’exercer deux fois son droit de retrait avec le même collatéral, en appelant deux vaults différents.

« Le problème est que dans le cas d’un exercice ERC20, les jetons sont transférés dans le contrat. Pour l’ETH, ils ne le sont pas, donc ils sont considérés deux fois. Le code permet de réutiliser le même ETH dans deux coffres différents, par le même expéditeur, dans la même transaction ! », Emiliano Bossani sur Twitter

Découvrez la DeFi »

Cette théorie, bien que hautement documentée, n’a pour le moment pas été validée par les équipes d’Opyn. Affaire (mouvementée) à suivre, donc !