Et un de plus au compteur – L’écosystème de la finance décentralisée (DeFi) a enregistré un essor sans précédent au cours de l’année 2021. Malheureusement, tous les protocoles ne présentent pas le même degré de sécurité. Une aubaine pour les hackers qui n’ont qu’à venir se servir.
30 millions piratés sur Grim Finance
Grim Finance est un protocole d’optimisation du rendement hébergé sur la blockchain Fantom (FTM). En pratique, celui-ci propose des coffres-forts (ou yields) qui optimisent automatiquement le rendement sur les actifs qui y sont déposés.
Le dimanche 19 décembre, les équipes du protocole ont averti la communauté d’une attaque en cours. En fait, l’attaquant a décelé une faille dans le protocole, qui lui a permis de siphonner les coffres-forts pendant 6 longues heures.
Au total, l’attaquant s’en est tiré avec un butin de 30 millions de dollars en cryptomonnaies. Après avoir découvert l’attaque, les équipes de Grim Finance ont bloqué les retraits afin de protéger les fonds restants.
« Nous avons mis en pause tous les coffres-forts pour éviter que les fonds futurs ne soient mis en danger. Veuillez retirer tous vos fonds IMMÉDIATEMENT comme Nikar0 l’a mentionné dans le post précédent ! »
Annonce de Grim Finance
Grim Finance a également contacté d’autres entités, telles que Circle, l’émetteur de l’USDC, dans l’espoir de voir les fonds de l’attaquant en partie gelés.
Les détails de l’attaque et la compensation
Dans les faits, l’attaquant a profité d’une faille dite reetrancy pour exploiter le protocole. Cette dernière lui a permis de berner le protocole, en effectuant une boucle de 5 dépôts, alors que ce dernier n’en était encore qu’au traitement du premier dépôt.
Par conséquent, lors de chacune de ces boucles, l’attaquant a pu générer des jetons représentant une part de la pool. Il s’est alors retrouvé en possession de 5 fois plus de parts de la pool. Il a ensuite utilisé ces nombreux jetons de pool pour siphonner ces dernières.
Après avoir géré la crise, l’heure était au bilan. Ainsi, les équipes de Grim ont annoncé un plan de compensation. Celui-ci se déroulera de la manière suivante :
- Le lancement d’un nouveau jeton qui sera distribué proportionnellement à tous les utilisateurs touchés par l’attaque ;
- Le jeton distribué recevra indéfiniment 50 % de tous les revenus de la plateforme. L’objectif est de faire apprécier le jeton à un niveau qui sera une compensation suffisante pour les utilisateurs concernés.
En outre, la plateforme va mettre en place un fonds d’assurance. Celui-ci sera financé en utilisant 0,2% des frais enregistrés par la plateforme.
Avec plus de 10,5 milliards de dollars dérobés en 2021, la DeFi est loin d’être un écosystème sur. De nombreux types d’attaques existent et c’est aux développeurs de s’assurer que leur protocole présente le bon degré de sécurité. Espérons que des efforts seront faits en 2022, et que l’année sera moins sanglante pour la DeFi.
