Cette cryptomonnaie laissée sans défense – Des hackers volent 20 millions de $… et personne n’a rien vu venir !
À chaque semaine son hack DeFi – Ce weekend, le protocole DeFi Pickle.finance a été la cible d’une attaque. Au total, 20 millions de dollars en crypto-actifs ont été dérobés. Il s’agit d’un cas unique en son genre.
20 millions de dollars envolés
Pickle.finance est un protocole DeFi qui a vu le jour en septembre, lors de la folie des projets aux noms culinaires. Son objectif est d’inciter les utilisateurs à effectuer des arbitrages sur les stablecoins pour maintenir leur valeur proche de leur index.
Dans la soirée du samedi 21 novembre, le protocole a été la cible d’une attaque entraînant la perte de 19 759 355 DAI. Depuis celle-ci, les jetons n’ont pas bougé de l’adresse de l’attaquant.
Une attaque pas comme les autres
Quand il s’agit d’attaques DeFi, nous avons été habitués à des montages impliquant des flash loans et des attaques re-entrancy, comme lors du hack de Value DeFi. Toutefois, cela n’a pas été le cas ici. Il aura fallu plusieurs heures à l’équipe de Pickle.finance, épaulée par d’autres développeurs, pour comprendre la complexité de l’attaque.
En réalité, l’attaquant a profité de nombreuses failles présentes dans le système de Jar du protocole, malgré des audits précédents menés par des sociétés spécialisées. Pour rappel, les Jars de Pickle.finance sont des outils comparables aux Vaults que propose yEarn : vous stockez certaines cryptomonnaies au sein de ces Jars, lesquelles visent à vous rétribuer ensuite à l’aide de stratégies diverses.
D’après le rapport publié par Banteg, développeur pour le projet yEarn, les failles auraient été ajoutées dans le code lors de la mise à jour Jarswapping, quelques jours avant l’attaque.
Sans entrer dans les détails du code, la fonction permettant de passer d’un jar à l’autre, swapExactJarForJar, ne contenait pas de vérification du contrat passé. De ce fait, l’attaquant a pu passer à la fonction un faux contrat imitant celui de Pickle.finance.
Par conséquent, l’attaquant a pu transférer les DAI présents dans le Jar DAI vers le faux contrat et drainer l’ensemble des fonds présents dans la stratégie.
Les failles ont été corrigées depuis. En revanche, aucune information concernant un dédommagement des utilisateurs pour le moment. Attendons de voir la suite des événements !