6 heures de piratage, 30 millions évaporés : Grim Finance fait grise mine

Et un de plus au compteur – L’écosystème de la finance décentralisée (DeFi) a enregistré un essor sans précédent au cours de l’année 2021. Malheureusement, tous les protocoles ne présentent pas le même degré de sécurité. Une aubaine pour les hackers qui n’ont qu’à venir se servir.

30 millions piratés sur Grim Finance

Grim Finance est un protocole d’optimisation du rendement hébergé sur la blockchain Fantom (FTM). En pratique, celui-ci propose des coffres-forts (ou yields) qui optimisent automatiquement le rendement sur les actifs qui y sont déposés.

Grim Finance
Un logo malheureux

Le dimanche 19 décembre, les équipes du protocole ont averti la communauté d’une attaque en cours. En fait, l’attaquant a décelé une faille dans le protocole, qui lui a permis de siphonner les coffres-forts pendant 6 longues heures.

Publication Twitter Grim Finance - hack 30 millions dollars
Publication de Grim Finance – Source : Twitter

Au total, l’attaquant s’en est tiré avec un butin de 30 millions de dollars en cryptomonnaies. Après avoir découvert l’attaque, les équipes de Grim Finance ont bloqué les retraits afin de protéger les fonds restants.

« Nous avons mis en pause tous les coffres-forts pour éviter que les fonds futurs ne soient mis en danger. Veuillez retirer tous vos fonds IMMÉDIATEMENT comme Nikar0 l’a mentionné dans le post précédent ! »

Annonce de Grim Finance

Grim Finance a également contacté d’autres entités, telles que Circle, l’émetteur de l’USDC, dans l’espoir de voir les fonds de l’attaquant en partie gelés.

>> Jouez la sécurité, inscrivez-vous sur la référence des exchanges crypto FTX <<

Les détails de l’attaque et la compensation

Dans les faits, l’attaquant a profité d’une faille dite reetrancy pour exploiter le protocole. Cette dernière lui a permis de berner le protocole, en effectuant une boucle de 5 dépôts, alors que ce dernier n’en était encore qu’au traitement du premier dépôt.

Par conséquent, lors de chacune de ces boucles, l’attaquant a pu générer des jetons représentant une part de la pool. Il s’est alors retrouvé en possession de 5 fois plus de parts de la pool. Il a ensuite utilisé ces nombreux jetons de pool pour siphonner ces dernières.

Après avoir géré la crise, l’heure était au bilan. Ainsi, les équipes de Grim ont annoncé un plan de compensation. Celui-ci se déroulera de la manière suivante :

  • Le lancement d’un nouveau jeton qui sera distribué proportionnellement à tous les utilisateurs touchés par l’attaque ;
  • Le jeton distribué recevra indéfiniment 50 % de tous les revenus de la plateforme. L’objectif est de faire apprécier le jeton à un niveau qui sera une compensation suffisante pour les utilisateurs concernés.

En outre, la plateforme va mettre en place un fonds d’assurance. Celui-ci sera financé en utilisant 0,2% des frais enregistrés par la plateforme.

Avec plus de 10,5 milliards de dollars dérobés en 2021, la DeFi est loin d’être un écosystème sur. De nombreux types d’attaques existent et c’est aux développeurs de s’assurer que leur protocole présente le bon degré de sécurité. Espérons que des efforts seront faits en 2022, et que l’année sera moins sanglante pour la DeFi.

Peur de subir un piratage ? Commencez par vous assurer d’évoluer dans un environnement sécurisant, et qui vous permettra d’organiser une stratégie d’investissement solide : Inscrivez-vous sans attendre sur la plateforme d’exchange crypto de référence FTX et bénéficiez d’une réduction à vie sur vos frais de trading (lien affilié, voir conditions sur site officiel).

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.

Recevez un condensé d'information chaque jour