Et un de plus ! – À peine 2 mois après son lancement, le protocole Haverst.finance vient de faire face à une attaque. Au total, le malfrat a réussi à drainer 24 millions de dollars. Cependant, un revirement de situation amène certains internautes à penser que les développeurs auraient pu être derrière cette attaque.
Le protocole Harvest : quand les fermiers de la DeFi sont en mode automatique
Le protocole Harvest.finance a été lancé le 29 août dernier. Son objectif est de proposer le rendement le plus haut en investissant automatiquement dans différentes stratégies de yield farming.
Le protocole s’occupe de tout. Il surveille les rendements annualisés, transfère les fonds sur les stratégies les plus rentables, et tente de le faire en optimisant les dépenses en frais de gas.
Harvest accepte aussi bien l’Ether que plusieurs stablecoins (DAI, USDC, TUSD), et des versions tokénisées du BTC (renBTC,WBTC). Le protocole est également compatible avec plusieurs pools Uniswap ou Curve.
24 millions dans la nature
Pendant la nuit du 25 au 26 octobre, certains utilisateurs du protocole Harvest ont commencé à prévenir les développeurs de pertes anormales. Ainsi, un utilisateur aurait perdu 300 000 dollars lors d’un retrait, comme l’a souligné un des contributeurs du crypto-média The Block sur Twitter.
Quelques heures après, Harvest.finance a communiqué via Twitter pour annoncer la triste nouvelle : le protocole a été victime d’une attaque économique.
Contrairement à d’autres types d’attaques, celle-ci ne profite pas d’une faille, mais tire partie de l’intégration entre plusieurs protocoles DeFi, à savoir dans ce cas le protocole Curve.
« L’attaque économique a été menée à travers la pool Curve, gonflant le prix des stablecoins sur Curve de manière délirante, et profitant de la situation pour siphonner intelligemment une grande quantité des actifs stockés avec Harvest. » – Publication de Harvest.finance sur Twitter
Évidemment, pour protéger ses utilisateurs, Harvest a fait le choix de bloquer les dépôts sur le protocole.
Dans les faits, il aura fallu 7 minutes à l’attaquant pour effectuer son attaque. Une fois n’est pas coutume, ce dernier a eu recours aux flash loans pour disposer de suffisamment de fonds pour la mener à bien. Au total, l’attaquant s’en est tiré avec 24 millions de dollars en actifs ERC-20, qu’il a immédiatement principalement convertis en RenBTC… avant de transformer ces renBTC en vrais BTC, probablement pour mieux s’en débarrasser plus tard.
En parallèle, le cours du jeton de gouvernance de Harvest, le FARM, a vu son cours dégringoler de 70 %, en passant de 293 à 92 dollars en l’espace de 2 h, d’après les données de CoinGecko.
Un revirement de situation mystérieux
1 heure avant la rédaction de cet article, les équipes de Harvest ont annoncé que l’attaquant avait renvoyé une parti des fonds. Dans les faits, ce dernier a rendu 2,4 millions de dollars sur le smart contract de Harvest.
Ce revirement de situation amène la communauté à s’interroger sur la légitimité de l’attaque.
« ‘L’attaquant’ a renvoyé des fonds parce que ce sont des gens si gentils. Si ce n’est pas une preuve solide que ‘l’attaquant’ et ‘les développeurs’ sont les mêmes, alors je ne sais pas ce que c’est. » – Publication de Riccardo Spagni, Responsable du projet Monero, sur Twitter
Un fait qui interroge également Chris Blec, analyste DeFi, pour qui il est très suspect que l’attaquant ait envoyé les fonds sur la clé admin des développeurs de Harvest.
Dans le même temps, les équipes d’Harvest Finance ont annoncé s’être mis en relation avec les principaux exchanges de la cryptosphère pour tenter d’empêcher le hacker de vendre ses bitcoins volés. Elles offrent également une récompense de 100 000 $ pour qui pourra les aider à identifier le hacker… tout en expliquant qu’il aurait “laissé suffisamment d’informations et de traces pour l’identifier”, lui qui serait “bien connu de la communauté”. Bizarre, vous avez dit bizarre ?
Il reste maintenant à attendre de voir si de nouveaux éléments vont s’ajouter à cette affaire. Dans tous les cas, Harvest a d’ores et déjà perdu la moitié des fonds déposés sur son protocole, d’après DeFiPulse, l’explorateur de données DeFi.
