Un autre protocole qui tombe à l’eau – Pour fêter la fin de l’année, le développeur fou d’Ethereum, Andre Cronje, a dévoilé un énième protocole DeFi dans la suite yEarn. Nommé yCredit, celui-ci n’aura pas fait long feu avant d’être la cible d’une attaque.
yCredit : des prêts made in yEarn
Le 31 décembre dernier, Andre Cronje, le créateur de yEarn.finance a dévoilé un nouveau (encore un) protocole DeFi.
Baptisé yCredit, ce dernier permet aux utilisateurs de contracter des prêts en collatéralisant des cryptomonnaies. Jusque-là donc, rien de très novateur.
Cependant, contrairement à la plupart des protocoles de prêts DeFi, yCredit permet de contracter un prêt correspondant à 99,5 % de la valeur du collatéral. En pratique, si vous déposez 100 dollars en ETH, vous serez en mesure d’obtenir un prêt de 99,5 dollars en jetons yCREDIT.
Le protocole intègre 0,5 % de frais pour chaque dépôt, transaction, échange, emprunt ou remboursement.
Et une attaque de plus pour la DeFi
Dès la publication du protocole, Andre Cronje a directement averti la communauté de la possibilité de voir le protocole exploité économiquement :
« yCrédit est expérimental. yCrédit n’est pas un jeton de spéculation. yCrédit peut être exploité économiquement. »
Évidemment, ce qui devait arriver arriva. Seulement quelques heures après le déploiement, un développeur a alerté la communauté quant à la présence d’une faille potentiellement exploitable.
Information bien triste qui a été confirmée dans la foulée par plusieurs autres développeurs.
Cependant, il semblerait finalement qu’un hacker ait trouvé un autre vecteur d’attaque que celui découvert par Nour Haridy… et l’ait naturellement exploité.
Un des problèmes semblait résider dans la fonction deposit du contrat. Celle-ci contenait effectivement des calculs erronés, ce qui a permis à un attaquant de récupérer plus de jetons que prévu. Il a donc été en mesure de vider les pools du protocole.
Les équipes de BlockSec, issu de l’Université de Zhejiang en Chine, ont décortiqué les différentes transactions des attaques pour étudier le mode opératoire.
Un nouveau contrat corrigé a depuis été déployé. Néanmoins, cela montre que de trop nombreux investisseurs se jettent sur les nouveaux produits DeFi, malgré les avertissements concernant les risques.
