Cryptomonnaie : il dérobe 16 millions de $ sur Ethereum en quelques clics – Retour sur la faillite Indexed Finance

Trading du coin Recevez notre sélection de cryptos en surveillance

Une nouvelle attaque au compteur – L’écosystème DeFi dans son ensemble vient de dépasser la barre symbolique des 200 milliards de dollars de TVL (Total Value Locked). Cependant, celui-ci reste gangréné par les failles de sécurité engendrant des hacks à répétition. 

Indexed Finance : 16 millions de dollars envolés

Indexed Finance est un protocole DeFi hébergé sur Ethereum. Celui-ci propose à ses utilisateurs des indices permettant de suivre le cours de plusieurs actifs. Par exemple, l’indice DEFI5 comprend 7 actifs, à savoir UNI, SUSHI, COMP, AAVE, CRV, MKR et SNX.   

Le 14 octobre, tard dans la soirée, le protocole Indexed Finance a averti ses utilisateurs qu’un problème avait été détecté sur les pools DEFI5 et CC10

Capture du tweet d'indexed Finance annonçant le hack

En attendant de comprendre la cause du problème, les équipes d'Indexed Finance ont rapidement suspendu les swaps sur les autres pools du protocole qui n’avaient pas été impactées. 

Il aura fallu environ 8 h aux équipes du protocole pour identifier la cause du problème et publier un post-mortem, revenant sur le déroulement de l’attaque.

Ainsi, selon les informations communiquées, un attaquant a réussi à siphonner l’équivalent de 16 millions de dollars depuis les pools DEFI5 et CC10. 

>> Préparez le prochain bull run de Bitcoin en vous inscrivant dès maintenant sur la plateforme FTX <<

Déroulement de l’attaque

D’après le post-mortem, l’attaquant a profité de la manière dont les pools sont rééquilibrées. Pour rappel, le rééquilibrage est un mécanisme via lequel les indices s’assurent que la part représentée par un jeton donnée dans l’indice reste la même. 

L’attaque s’est déroulée en plusieurs étapes. Dans un premier temps, l’attaquant a déclenché le rééquilibrage sur l’indice DEFI5. 

Au moment des faits, le jeton UNI était le premier jeton de l’indice. De ce fait, le prix du jeton UNI a été utilisé par le protocole pour estimer la valeur de la pool et fixer le solde minimum des autres jetons de l’indice, dont le SUSHI. 

Par la suite, l’attaquant a contracté un flash loan d’un montant de 156 millions de dollars sur les jetons UNI, AAVE, COMP, CRV, MKR, SNX.

“L’attaquant a ensuite utilisé tous les actifs empruntés pour acheter de l'UNI sur la pool. Il a fallu des dizaines de swaps, mais ils ont réussi à déverser l’ensemble des jetons dans l’indice.”

Le post-mortem

Une fois la quasi-totalité des jetons UNI de l’indice achetés, l’attaquant a effectué une mise à jour des balances minimales de ce dernier. Comme l’UNI n’était plus le jeton majoritaire, l’indice a calculé sa valeur en fonction du SUSHI.

L’attaquant a ensuite utilisé l’ensemble des UNI achetés sur la pool pour créer de nouveaux jetons DEFI5, augmentant l’offre totale de DEFI5 de manière exponentielle. Puis, il a fait de même avec les jetons SUSHI empruntés lors du flash loan, pour créer encore plus de jetons DEFI5 et continuer de gonfler l’offre totale de manière artificielle en se basant sur une valorisation faussée par l’attaque.

Pour finir, l’attaquant a converti ses jetons DEFI5 contre les actifs sous-jacents de la pool, lui permettant de siphonner l’intégralité des liquidités.

“Finalement, l’attaquant a remboursé le flash loan et s’est tiré d'affaire avec environ 11 millions de dollars d'actifs de bénéfice.”

L’annonce

Correctif et compensation

Heureusement, les équipes ont rapidement trouvé l’origine de la faille et sont actuellement en train de travailler sur un correctif du smart contract “controller”.

“De nombreux développeurs Ethereum que nous respectons nous ont proposé leur aide depuis l'attaque, et nous chercherons à obtenir le plus de commentaires possibles sur le nouveau code avant de le soumettre à l'approbation de la gouvernance.”

La publication

Concernant les compensations, les équipes ont annoncé qu’ils allaient décider cela avec la communauté via le module de gouvernance. Pour ce faire, ils étudieront les diverses méthodes de compensations utilisées par d’autres protocoles également attaqués, pour sélectionner la plus appropriée.

Indexed Finance rejoint donc la longue liste des protocoles dont les smart contracts auront été exploités par des petits malins. Espérons que l’attaquant, pris de remords, restitue une partie des fonds dans le futur, à l'image d'autres de ses comparses, comme celui qui avait perpétué le hack de Cream Finance.

Plutôt que de gaspiller bêtement des cryptomonnaies, accumulez-en, dans la perspective de la nouvelle économie qui se dessine actuellement. Pour ne pas rater l’opportunité d'une vie, Inscrivez-vous sans attendre sur la plateforme d'exchange crypto de référence FTX et bénéficiez d'une réduction à vie sur vos frais de trading (lien affilié, voir conditions sur site officiel).

Auteur

Ingénieur en software et en systèmes distribués de formation, crypto-enthousiaste depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.

Toute l’actualité des cryptomonnaies, analyses, vidéos et guides.

Copyright © 2017-2021 8Decimals - Tous droits réservés.

PARTAGER