Cette cryptomonnaie laissée sans défense – Des hackers volent 20 millions de $… et personne n’a rien vu venir !

DeFi (Finance Décentralisée) Finance décentralisée Hacks

Collectionnez les articles du JDC en NFT

Collecter cet article

À chaque semaine son hack DeFi Ce weekend, le protocole DeFi Pickle.finance a été la cible d’une attaque. Au total, 20 millions de dollars en crypto-actifs ont été dérobés. Il s’agit d’un cas unique en son genre.

20 millions de dollars envolés

Pickle.finance est un protocole DeFi qui a vu le jour en septembre, lors de la folie des projets aux noms culinaires. Son objectif est d’inciter les utilisateurs à effectuer des arbitrages sur les stablecoins pour maintenir leur valeur proche de leur index.

Dans la soirée du samedi 21 novembre, le protocole a été la cible d’une attaque entraînant la perte de 19 759 355 DAI. Depuis celle-ci, les jetons n’ont pas bougé de l’adresse de l’attaquant.

Une attaque pas comme les autres

Quand il s’agit d’attaques DeFi, nous avons été habitués à des montages impliquant des flash loans et des attaques re-entrancy, comme lors du hack de Value DeFi. Toutefois, cela n’a pas été le cas ici. Il aura fallu plusieurs heures à l’équipe de Pickle.finance, épaulée par d’autres développeurs, pour comprendre la complexité de l’attaque.

En réalité, l’attaquant a profité de nombreuses failles présentes dans le système de Jar du protocole, malgré des audits précédents menés par des sociétés spécialisées. Pour rappel, les Jars de Pickle.finance sont des outils comparables aux Vaults que propose yEarn : vous stockez certaines cryptomonnaies au sein de ces Jars, lesquelles visent à vous rétribuer ensuite à l’aide de stratégies diverses.

D’après le rapport publié par Banteg, développeur pour le projet yEarn, les failles auraient été ajoutées dans le code lors de la mise à jour Jarswapping, quelques jours avant l’attaque.

Sans entrer dans les détails du code, la fonction permettant de passer d’un jar à l’autre, swapExactJarForJar, ne contenait pas de vérification du contrat passé. De ce fait, l’attaquant a pu passer à la fonction un faux contrat imitant celui de Pickle.finance.

Par conséquent, l’attaquant a pu transférer les DAI présents dans le Jar DAI vers le faux contrat et drainer l’ensemble des fonds présents dans la stratégie.

Les failles ont été corrigées depuis. En revanche, aucune information concernant un dédommagement des utilisateurs pour le moment. Attendons de voir la suite des événements !

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.

> Plus d'articles de l'auteur(e)

Pour aller plus loin

Avis eToro, Test et Tuto 2024 : Zoom sur le célèbre broker

EToro se définit comme étant une plateforme d’investissement multi-actifs et un réseau social d’investisseurs. En ligne depuis 2007, ce broker (courtier en ligne) permet en effet de s’exposer à différents produits financiers tel que les cryptomonnaies, les actions, les indices ou les Exchanges Traded Funds (ETF). Les utilisateurs peuvent aussi échanger entre eux et copier … Continued

Le 18 Jan 2024 à 12h30

Dans la même catégorie

Airdrop : le protocole Skate ouvre son skatepark pour cumuler les points Ollies

Le 24 avr. 2024 à 15:00

Airdrop crypto : se positionner sur la campagne de points du L2 Mode Network

Le 23 avr. 2024 à 16:00

Treat, le L3 en devenir de Shibarium (SHIB) lève 12 millions de dollars

Le 23 avr. 2024 à 15:00

Hack en cours du MagPie Protocole : 130 000$ déjà dérobés

Le 23 avr. 2024 à 13:30

LogX, le trading décentralisé boosté à l’Intelligence Artificielle

Le 19 avr. 2024 à 8:00

Un groupe de hackers en série débarque sur Blast : ZachXBT lance l'alerte

Le 15 avr. 2024 à 11:00

Comment protéger les développeurs de smart contracts des attaques étatiques ?

Le 13 avr. 2024 à 16:00

Ethena Labs : les craintes s'élèvent concernant l'USDe

Le 13 avr. 2024 à 12:00

Commentaires

Votre email ne sera pas publié. En publiant un commentaire, vous acceptez notre politique de confidentialité.


Recevez un condensé d'information chaque jour