Cette cryptomonnaie laissée sans défense – Des hackers volent 20 millions de $… et personne n’a rien vu venir !

Trading du coin Recevez notre sélection de cryptos en surveillance

À chaque semaine son hack DeFi Ce weekend, le protocole DeFi Pickle.finance a été la cible d’une attaque. Au total, 20 millions de dollars en crypto-actifs ont été dérobés. Il s’agit d’un cas unique en son genre.

20 millions de dollars envolés

Pickle.finance est un protocole DeFi qui a vu le jour en septembre, lors de la folie des projets aux noms culinaires. Son objectif est d’inciter les utilisateurs à effectuer des arbitrages sur les stablecoins pour maintenir leur valeur proche de leur index.

Dans la soirée du samedi 21 novembre, le protocole a été la cible d’une attaque entraînant la perte de 19 759 355 DAI. Depuis celle-ci, les jetons n’ont pas bougé de l’adresse de l’attaquant.

Une attaque pas comme les autres

Quand il s’agit d’attaques DeFi, nous avons été habitués à des montages impliquant des flash loans et des attaques re-entrancy, comme lors du hack de Value DeFi. Toutefois, cela n’a pas été le cas ici. Il aura fallu plusieurs heures à l’équipe de Pickle.finance, épaulée par d’autres développeurs, pour comprendre la complexité de l’attaque.

En réalité, l’attaquant a profité de nombreuses failles présentes dans le système de Jar du protocole, malgré des audits précédents menés par des sociétés spécialisées. Pour rappel, les Jars de Pickle.finance sont des outils comparables aux Vaults que propose yEarn : vous stockez certaines cryptomonnaies au sein de ces Jars, lesquelles visent à vous rétribuer ensuite à l’aide de stratégies diverses.

D’après le rapport publié par Banteg, développeur pour le projet yEarn, les failles auraient été ajoutées dans le code lors de la mise à jour Jarswapping, quelques jours avant l’attaque.

Sans entrer dans les détails du code, la fonction permettant de passer d’un jar à l’autre, swapExactJarForJar, ne contenait pas de vérification du contrat passé. De ce fait, l’attaquant a pu passer à la fonction un faux contrat imitant celui de Pickle.finance.

Par conséquent, l’attaquant a pu transférer les DAI présents dans le Jar DAI vers le faux contrat et drainer l’ensemble des fonds présents dans la stratégie.

Les failles ont été corrigées depuis. En revanche, aucune information concernant un dédommagement des utilisateurs pour le moment. Attendons de voir la suite des événements !

Renaud H.

Auteur

Étudiant ingénieur en software et en systèmes distribués, crypto-enthousiaste depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.

Votre email ne sera pas publié. En publiant un commentaire, vous acceptez notre politique de confidentialité.

*

Toute l’actualité des cryptomonnaies, analyses, vidéos et guides.

Copyright © 2017- 8Decimals - Tous droits réservés.

PARTAGER