Ils profitent d’Ethereum et de sa DeFi et se font 500 000 $ en un clic : les investisseurs sous le choc
Le crime ne se repose pas – Qu’elles évoluent sur Ethereum, sur la Binance Smart Chain ou sur Polygon, les applications de la DeFi ne sont pas à l’abri d’une attaque. Ainsi, le protocole Visor Finance a vu certaines de ses clés compromises, donnant accès à une partie de ses liquidités à un attaquant.
500 000 dollars évaporés pour une mauvaise gestion de clés
Le samedi 19 juin, les équipes du protocole Visor Finance, projet hébergé sur Ethereum, ont notifié leurs utilisateurs d’une attaque en cours. D’après les informations relayées dans le post mortem de l’attaque, l’assaillant a été en mesure de retirer 500 000 dollars, soit 16,7 % de l’ensemble des liquidités déposées sur le protocole.
Contrairement aux attaques rencontrées habituellement, l’attaquant de Visor Finance n’a pas exploité de faille dans un des smart contracts du protocole. A la place, ce dernier a eu accès à une de ses clés administrateurs. Une fois en sa possession, il a pu retirer les fonds déposés, qui n’avaient pas encore été ajoutés aux positions de fournisseurs de liquidités sur Uniswap V3.
Pour rappel, Visor est un protocole proposant des coffres-forts intelligents ayant pour mission de gérer au mieux les liquidités déposées sur Uniswap V3.
Place à un remboursement intégral !
Dans les faits, l’erreur incombe aux développeurs du protocole qui ont manqué aux bonnes pratiques de développement. Par conséquent, au lieu d’utiliser une clé multi-signature pour accéder aux fonctions administrateurs du protocole, ces derniers ont eu recours à une seule clé, créant de facto un point unique de défaillance.
« Pour être clair, il n’y a pas eu d’exploitation de l’un des contrats Visor. Pour l’instant, toutes les fonctions d’administration ont été attribuées à un multisig [une clé multi-signature], et dès que les audits seront terminés, la fonction de retrait d’urgence sera entièrement supprimée. »
Post mortem de Visor Finance
Face à cette attaque, les développeurs n’ont eu d’autre choix que d’assumer les conséquences de celle-ci. Pour ce faire, 500 000 dollars ont été retirés du fond de trésorerie pour compenser les cryptomonnaies dérobées lors de l’attaque.
Malgré les attaques à répétitions qui touchent l’écosystème DeFi, le milliardaire Mark Cuban voit cet écosystème comme un secteur d’avenir. Cependant, pour ce faire, les développeurs de l’ensemble de l’écosystème vont devoir améliorer la sécurité de leur protocole, afin que ceux-ci ne soient plus une proie si facile à la moindre attaque.