Une nouvelle attaque au compteur – L’écosystème DeFi dans son ensemble vient de dépasser la barre symbolique des 200 milliards de dollars de TVL (Total Value Locked). Cependant, celui-ci reste gangréné par les failles de sécurité engendrant des hacks à répétition.
Indexed Finance : 16 millions de dollars envolés
Indexed Finance est un protocole DeFi hébergé sur Ethereum. Celui-ci propose à ses utilisateurs des indices permettant de suivre le cours de plusieurs actifs. Par exemple, l’indice DEFI5 comprend 7 actifs, à savoir UNI, SUSHI, COMP, AAVE, CRV, MKR et SNX.
Le 14 octobre, tard dans la soirée, le protocole Indexed Finance a averti ses utilisateurs qu’un problème avait été détecté sur les pools DEFI5 et CC10.
En attendant de comprendre la cause du problème, les équipes d’Indexed Finance ont rapidement suspendu les swaps sur les autres pools du protocole qui n’avaient pas été impactées.
Il aura fallu environ 8 h aux équipes du protocole pour identifier la cause du problème et publier un post-mortem, revenant sur le déroulement de l’attaque.
Ainsi, selon les informations communiquées, un attaquant a réussi à siphonner l’équivalent de 16 millions de dollars depuis les pools DEFI5 et CC10.
>> Exposez vous au Bitcoin sur Binance, 10% de réduction des frais avec ce lien (lien commercial) <<
Déroulement de l’attaque
D’après le post-mortem, l’attaquant a profité de la manière dont les pools sont rééquilibrées. Pour rappel, le rééquilibrage est un mécanisme via lequel les indices s’assurent que la part représentée par un jeton donnée dans l’indice reste la même.
L’attaque s’est déroulée en plusieurs étapes. Dans un premier temps, l’attaquant a déclenché le rééquilibrage sur l’indice DEFI5.
Au moment des faits, le jeton UNI était le premier jeton de l’indice. De ce fait, le prix du jeton UNI a été utilisé par le protocole pour estimer la valeur de la pool et fixer le solde minimum des autres jetons de l’indice, dont le SUSHI.
Par la suite, l’attaquant a contracté un flash loan d’un montant de 156 millions de dollars sur les jetons UNI, AAVE, COMP, CRV, MKR, SNX.
“L’attaquant a ensuite utilisé tous les actifs empruntés pour acheter de l’UNI sur la pool. Il a fallu des dizaines de swaps, mais ils ont réussi à déverser l’ensemble des jetons dans l’indice.”
Le post-mortem
Une fois la quasi-totalité des jetons UNI de l’indice achetés, l’attaquant a effectué une mise à jour des balances minimales de ce dernier. Comme l’UNI n’était plus le jeton majoritaire, l’indice a calculé sa valeur en fonction du SUSHI.
L’attaquant a ensuite utilisé l’ensemble des UNI achetés sur la pool pour créer de nouveaux jetons DEFI5, augmentant l’offre totale de DEFI5 de manière exponentielle. Puis, il a fait de même avec les jetons SUSHI empruntés lors du flash loan, pour créer encore plus de jetons DEFI5 et continuer de gonfler l’offre totale de manière artificielle en se basant sur une valorisation faussée par l’attaque.
Pour finir, l’attaquant a converti ses jetons DEFI5 contre les actifs sous-jacents de la pool, lui permettant de siphonner l’intégralité des liquidités.
“Finalement, l’attaquant a remboursé le flash loan et s’est tiré d’affaire avec environ 11 millions de dollars d’actifs de bénéfice.”
L’annonce
Correctif et compensation
Heureusement, les équipes ont rapidement trouvé l’origine de la faille et sont actuellement en train de travailler sur un correctif du smart contract “controller”.
“De nombreux développeurs Ethereum que nous respectons nous ont proposé leur aide depuis l’attaque, et nous chercherons à obtenir le plus de commentaires possibles sur le nouveau code avant de le soumettre à l’approbation de la gouvernance.”
La publication
Concernant les compensations, les équipes ont annoncé qu’ils allaient décider cela avec la communauté via le module de gouvernance. Pour ce faire, ils étudieront les diverses méthodes de compensations utilisées par d’autres protocoles également attaqués, pour sélectionner la plus appropriée.
Indexed Finance rejoint donc la longue liste des protocoles dont les smart contracts auront été exploités par des petits malins. Espérons que l’attaquant, pris de remords, restitue une partie des fonds dans le futur, à l’image d’autres de ses comparses, comme celui qui avait perpétué le hack de Cream Finance.
Vous cherchez des tokens à fort potentiel de croissance ? Binance Launchpad met en lumière des projets crypto prometteurs en exclusivité. Pour y participer, rien de plus simple. Il suffit de vous inscrire sur Binance en suivant ce lien, vous obtiendrez 10% de remise sur vos frais de trading (lien commercial).
