La malédiction du crypto-lapin : Pancake Bunny victime du hack de trop ?
On ne change pas une équipe qui perd – Seulement quelques mois après une première attaque ayant entraîné la perte de 45 millions de dollars, le protocole Pancake Bunny a été victime d’une seconde salve. Bien que les pertes soient bien moins élevées, la situation demeure irritante.
Une première attaque, qui n’aura pas servi de leçon
Quelques jours après la première attaque visant Pancake Bunny, l’attaquant avait effectué une donation de 100 000 DAI issus de son butin fraichement acquis à Rekt, un média spécialisé dans l’analyse d’attaques DeFi. Celui-ci avait alors fait le choix méritoire de restituer lesdits fonds au protocole Pancake Bunny, lui demandant… d’essayer de ne plus les perdre.
Finalement, ce qui devait arriver arriva. Pancake Bunny a été la cible d’une seconde attaque, laissant les membres de Rekt amers.
Hack de pancake bunny : 2,4 millions de dollars envolés
Le samedi 17 juillet, les équipes du protocole de yield farming Pancake Bunny ont notifié leurs utilisateurs que la version déployée sur Polygon du protocole avait été la cible d’une attaque.
Au total, l’attaquant s’en est sorti avec un butin de 2,4 millions de dollars, d’après les informations rapportées par Rekt.
Pourtant, cette attaque aurait pu être évitée. En effet, 2 jours avant, le protocole ApeRockerFi, un fork de Pancake Bunny avait déjà subi une attaque entraînant la perte de 260 000 dollars sur la BSC et 1 million de dollars sur Polygon. Sans surprise, c’est le même vecteur qui a été utilisé pour exploiter Pancake Bunny.
Une attaque préparée avec brio
En pratique, il s’agissait d’un bug dans l’une des fonctions de mint du protocole. Encore une fois, l’attaquant a mené son attaque grâce à un flash loan réalisé sur Aave.
Le hack s’est déroulé en 5 grandes étapes :
- L’attaquant a déposé l’équivalent de 19 000 dollars sur le vault USDC/USDT de Pancake Bunny sur Polygon ;
- En parallèle, il a déposé 47 millions de dollars sur le contrat USDT/USDC MiniChefV2 de SushiSwap ;
- Cela lui a permis de générer des frais de performance équivalant à 14 millions de dollars ;
- Cette action a déclenché la création de 2,1 millions de jetons polyBUNNY à destination de l’attaquant ;
- Pour finir, ce dernier a revendu l’ensemble des jetons générés, puis remboursé le flash loan contracté sur Aave, pour un profit final de 1 281 ETH, soit 2,4 millions de dollars.
Dans le post mortem publié le lendemain de l’attaque, les équipes du protocole ont annoncé qu’un plan de compensation serait mis en place :
« Toutes les personnes qui détenaient des polyBUNNY au moment de l’exploit, y compris les polyBUNNY-ETH et les polyBUNNY-QUICK, peuvent participer au programme de compensation. Cela signifie que l’équipe vérifiera toutes les adresses de portefeuilles qui détenaient du polyBUNNy (que ce soit sous forme de jeton ou de paire de LP) pendant le bloc exploité. »
Les utilisateurs verront ainsi normalement leurs pertes éventuelles compensées via la distribution de jetons MND provenant de la trésorerie des développeurs.
Cette attaque vient s’ajouter à la très longue liste de celles enregistrées par l’écosystème DeFi. En fin juin, le protocole StableMagnet avait effectivement été la cible d’une attaque dont le montant total des pertes s’est élevé à 27 millions de dollars.
La Finance Décentralisé vous effraie un peu ? Restez classique en vous cantonnant aux leaders du secteur comme Bitcoin et Ethereum ! Bonne nouvelle : une offre limitée vous permet ces jours-ci d’obtenir gratuitement jusqu’à 300€ en cryptomonnaies (sous réserve d’un dépôt minimum de 150€) ! Profitez de cette offre, tout en soutenant le travail du Journal du Coin en utilisant ce lien affilié pour vous inscrire sur la plateforme de référence Swissborg (voir conditions de l’offre sur le site officiel).