De mal en pis ? – Alors que la semaine crypto était déjà à marquer d’une pierre rouge sang, un nouveau traumatisme a frappé cette nuit le petit écosystème de la Finance Décentralisée. La populaire plateforme PancakeBunnySwap a été victime d’une attaque de type flash loan. Si l’ensemble des détails n’est pas encore connu, ce sont potentiellement des centaines de millions de dollars qui pourraient avoir été drainés des pools de liquidité du protocole. La plateforme assure cependant que les waults du protocole sont hors de danger et a d’ores et déjà assuré travailler à un plan de compensation pour les utilisateurs lésés. On fait le tour du sujet.
Le coup du lapin
Clarifions un point d’entrée de jeu : la plateforme PancakeBunnySwap n’a pas été l’objet d’un exit scam, ou d’un rug pull (soit une situation où une équipe s’enfuit avec la caisse), mais a subi une attaque brutale de flash loan qui a visé la partie du protocole qui s’occupe de la collatétalisation des prêts.
Ainsi, vers 2h du matin heure française, un assaillant a-il procédé à une attaque coordonnée qui lui a permis au final d’apparemment siphonner (et du moins manipuler) les différentes pool de liquidités (LP) de la plateforme.
L’assaillant a pris soin de signer son forfait avec un message acide qu’on imagine autant adressé à l’équipe qu’aux amateurs de Finance décentralisée dans leur ensemble.
« Les flash Loans ne sont-ils pas irritants ? »
Signature de l’auteur du détournement des fonds de PancakeBunnySwap
Selon les premières investigations, le drame s’est déroulé en 5 actes :
- L’auteur a utilisé pancakeswap pour emprunter une énorme quantité de BNB
- L’auteur a ensuite manipulé le prix de USDT/BNB ainsi que de Bunny/BNB.
- L’auteur a fini par obtenir une énorme quantité de Bunny grâce à ce prêt flash (flash loan).
- L’auteur a ensuite déversé tous les BUNNY sur le marché, ce qui a fait chuter le cours.
- Le’auteur s’est remboursé ses Bunny via pancakeswap.
Ce sont ainsi des centaines de millions de dollars en tokens divers (BUNNY, WBNB, CAKE, BUSD..) qui pourraient avoir été concernés à divers titres par le détournement. Le conditionnel s’impose cependant, dans la mesure où le projet a officiellement fait savoir que ses waults (les contrats où sont stockés les fonds) n’avaient pas été compromis, mais que seul le cours du BUNNY avait été attaqué. Les détails seront mieux connus une fois la publication du post mortem de l’attaque disponible.
Au final, ce sont ainsi près de 7 millions de nouveau BUNNY qui ont été créés dans l’opération et immédiatement revendus.
Très logiquement, le cours du token de gouvernance BUNNY s’est effondré de 95%, passant instantanément de 150 à moins de 10$ quelques instants après l’événement.
Anecdote acide, l’ensemble de l’opération aura coûté à son auteur la ridicule somme de 9$ en frais de transactions (même si la réalisation du raid en lui même a impliqué la mobilisation de fonds conséquents).
L’équipe de PancakeBunnySwap a rapidement réagi sur Twitter notamment, et a rendu public les premiers éléments à sa disposition.
Un remboursement envisagé pour les victimes ?
Il existe plus de 66 000 adresses détentrices de BUNNY. Si toutes ces dernières ne sont pas associées à des opérations de verrouillage dans les pool de liquidités de la plateforme, ce sont cependant des dizaines de milliers de victimes potentielles qui ont été concernées cette nuit par l’assaut sur leurs actifs déposés sur les différentes pool existantes.
Sans même parler des holders de tokens Bunny, mis en confiance par le récent ATH à 500$ et l’ombre discrète et bienveillante de Binance sur le projet. En bref, une catastrophe à dimension industrielle. Bien conscient de la gravité de la situation, le projet a ainsi rapidement fait savoir qu’il œuvrait d’ores et déjà à la mise en place d’un plan de compensation pour ses utilisateurs.
Pour le moment, rien n’a filtré sur les conditions de ce plan de compensation. Notons au passage que nombreux sont ceux à avoir invoqués un rollback de la Binance Smart Chain, voire appelés à l’aide le patron de Binance Changpeng Zhao en personne, démontrant s’il était besoin que beaucoup de gens ne se font soutien de la décentralisation, que jusqu’au moment où ils perdent brusquement de l’argent, tout à coup heureux d’invoquer une puissance supérieure supposée omnipotente…
Quoi qu’il en soit – et même si certains ont d’ores et déjà évoqué la création d’un “Bunny Classic” en référence à des temps antiques mêlant un certain Ethereum et hack de TheDao – pas de roll back ou de fork à l’horizon.
Quels risques sur les autres plateformes DeFi ?
A ce stade, il est utile de rappeler que plus qu’un “piratage”, cette opération de flash loan relève plus de l’exploitation d’une vulnérabilité des protocole dans leur design même.
Si le choc est rude, à l’échelle de l’ensemble de l’écosystème DeFi et dans un contexte de marché qui n’avait vraiment pas besoin de ça, plusieurs plateformes ont rapidement fait savoir que la situation était normale de leur côté, voire qu’elles étaient protégées de telle mésaventures.
C’est notamment le cas du leader du secteur PancakeSwap qui, en dépit de la proximité sémantique, a souligné que son protocole était à l’épreuve de balles s’agissant de ce risque particulier. Un rappel qui n’a pas empêché le cours du CAKE de dévisser de 25% en 1 heure, passant de 20 à 15$, avant de se reprendre au moment de la rédaction du présent.
De nouveaux éléments seront probablement révélés dans les prochaines heures, qu’il s’agisse des détails de l’attaque en elle-même ou des conditions de compensation à venir.
