On est reparti pour un tour – Le protocole DeFi yEarn a été la cible d’une attaque. Au total, le protocole essuie une perte de 11 millions de dollars, alors que l’attaquant repart avec 2,8 millions.
yEarn dans le collimateur des hackers
L’information est tombée jeudi 4 février, tard dans la soirée.
Banteg, l’un des développeurs du projet yEarn, a averti les utilisateurs sur Twitter qu’une attaque sur le coffre-fort (vault) DAI avait eu lieu, entraînant la perte de 11 millions de dollars.
Pour assurer la sécurité des fonds restants, les stratégies DAI, TUSD, USDC et USDT ont été suspendues.
Il aura fallu attendre le tweet de Igor Igamberdiev, du média The Block, pour obtenir plus de détails sur le déroulement de l’attaque.
Le butin du hacker est estimé à 2,8 millions de dollars.
Le déroulement de l’attaque
Dans les faits, cette attaque s’est déroulée de manière classique, notamment grâce à plusieurs flash loans.
Selon Igor Igamberdiev, le déroulement du hack a été le suivant :
- L’attaquant a contracté 2 flash loans de 116 000 ETH et 99 000 ETH auprès de dYdX et Aave ;
- Il a emprunté 134 millions d’USDC et 129 millions de DAI en plaçant les ETH en collatéral ;
- Il a déposé 134 millions d’USDC et 36 millions de DAI sur la pool 3crv du protocole Curve ;
- Il a ensuite retiré 165 millions d’USDT de cette même pool.
- Puis il a répété 5 fois l’enchaînement suivant :
- Un dépôt de 93 millions de DAI dans le coffre-fort de 3crv,
- Un ajout de 165 millions d’USDT à la pool 3crv,
- Un retrait de 92 millions de DAI du coffre-fort de yDAI,
- Un dernier retrait de 165 millions d’USDT de la pool 3crv
- Finalement, il a retiré pour son bénéfice quelques 39 millions de DAI et 134 millions d’USDC : cet enchaînement d’opérations lui permettait en effet de profiter d’une faille concernant la pool 3crv, les stratégies automatiques utilisées par les différents coffre-forts de yEarn et le slippage imposé entre ces différents éléments du protocole et le marché réel.
Une fois le prêt Compound et les flash loans remboursés, l’attaquant s’est retrouvé avec un magot résiduel de 2,8 millions de dollars, littéralement ponctionnés au protocole yEarn.
Cette attaque est un vraie mauvaise nouvelle pour le protocole yEarn. En effet, jusqu’ici, il avait réussi à passer au travers des hacks DeFi. Comment réagira le protocole roi de la finance décentralisé ? Affaire à suivre.
