Comment se faire 30 millions de $ en 4 heures ? Ils réussissent le coup du siècle, sur la Binance Smart Chain (BSC) !

DeFi (Finance Décentralisée) Finance décentralisée Hacks

Collectionnez les articles du JDC en NFT

Collecter cet article

Un hack qui laisse un goût amer – Les hacks de protocoles DeFi évoluant sur la Binance Smart Chain ne cessent de se multiplier. Après l’attaque à 50 millions de dollars qui a visé Uranium Finance la semaine dernière, c’est au tour de Spartan Protocol d’essuyer 30 millions de pertes.

L’attribut alt de cette image est vide, son nom de fichier est CTA-achat-Bitcoin-BTC-trop-tard.png.

Quand 4 h suffisent pour créer une grosse perte

Dans la nuit du samedi 1 mai au dimanche 2 mai, aux alentours de 2h du matin, les équipes du protocole DeFi Spartan Protocol ont alerté leur communauté qu’une attaque était en cours

Quelques heures plus tard, l’entreprise PeckShield avait publié un rapport relatant le déroulement de l’attaque. Comme à son habitude, le chercheur Igor Igamberdiev travaillant pour TheBlock est, lui aussi, revenu sur les évènements. 

Au total, l’attaquant a réussi à siphonner l’équivalent de 30 millions de dollars de cryptomonnaies sur 4 pools différentes via 9 attaques distinctes. 

Une attaque orchestrée de main de maître

En pratique, l’attaquant a profité d’une faille dans le calcul des parts de liquidités déposées lors de leur retrait.

« Cet incident est dû à une logique erronée dans le calcul de la part de liquidités lorsque les jetons de pools (LP tokens) sont brûlés pour retirer les actifs sous-jacents. »

Rapport de PeckShield

Dans les faits, la fonction callLiquidityShare du contrat ne mettait plus à jour le nombre total de jetons de liquidités émis. Pour rappel, les jetons de liquidités (ou LP Tokens) sont émis lors d’un dépôt et représente la part des liquidités déposées par un utilisateur.

« Spartan utilisait les soldes actuels au lieu des soldes en cache (comme Uniswap) pour calculer la valeur des jetons LP. Comme le nombre de jetons LP n’augmentait pas, chaque jeton LP permettait de drainer plus de jetons. »

Igor Igamberdiev

L’attaquant aurait procédé en 5 étapes :

  • L’attaquant a effectué un flashswap sur Pancakeswap d’un montant de 100 000 WBNB. Avec cet argent, il a échangé les WBNB contre des jetons SPARTA ;
  • Il a ensuite ajouté 2 536 SPARTA et 11 853 WBNB à la pool SPARTA/WBNB du protocole via la méthode addLiquidity, permettant la création de 933 350 LP Token SPT1-WBNB ;
  • Puis, il a échangé 1 674 WBNB contre 2 639 121 SPARTA sur la même pool et il a envoyé les jetons sur la pool, sans utiliser la méthode addliquidity ;
  • Pour continuer, il a commencé à drainer les fonds en brûlant les 933 350 LP Token générés précédemment, récupérant 2 538 199 SPARTA et 20 694 WBNB soit 9 000 WBNB de plus que ceux déposés ;
  • Finalement, l’attaquant ajouté les liquidités de la troisième étape pour générer 1,414,010 LP Tokens avant de les retirer immédiatement contre 2 643 882 SPARTA and 21 555 WBNB, enregistrant une fois de plus un large profit.

Par la suite, il a répété les différentes étapes ci-dessus pour continuer de vider les pools. 

Au total, l’attaquant a récupéré : 

  • 30 700 WBNB (18,9 millions de dollars) ;
  • 4,6 millions de SPARTA (7,8 millions de dollars) ;
  • 1,3 millions de BUSD-T (1,3 millions de dollars) ;
  • 23,2 BTCB (1,3 millions de dollars) ;
  • 924 000 BUSD (900 000 dollars).

Ces fonds ont ensuite été convertis en anyETH et anyBTC et l’attaquant a retiré l’ensemble de son profit (moins 30 % perdus en slippage) via le pont d’Anyswap vers Ethereum. De ce fait, les fonds n’étaient plus sur la Binance Smart Chain et Binance, bien qu’ayant la possibilité de rollback, ne pouvait plus intervenir.

Un protocole pourtant audité

Cet énième hack repose diverses questions quant à la qualité des audits réalisés. En effet, Spartan Protocol avait été audité par Certik en septembre 2020. Lors de l’audit en question, Certik, pourtant réputé dans le milieu, n’avait pas décelé la faille.  Spartan avait été présenté comme un protocole sûr, car audité, alors même que celui-ci présentait une faille depuis 8 longs mois. 

Au total, 80 millions de dollars ont été dérobés au cours de la semaine passée sur la Binance Smart Chain. Une facture insupportable qui sera, une fois de plus, payée par les investisseurs lésés. Certes, la DeFi propose des rendements intéressants, mais ces évènements nous ramènent à la dure réalité des risques encourus lors de l’utilisation de tels protocoles. Il en va des protocoles et des utilisateurs de redoubler de vigilance. 

L’attribut alt de cette image est vide, son nom de fichier est CTA-achat-Ethereum-ETH-trop-tard.png.

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.

> Plus d'articles de l'auteur(e)

Pour aller plus loin

Avis eToro, Test et Tuto 2024 : Zoom sur le célèbre broker

EToro se définit comme étant une plateforme d’investissement multi-actifs et un réseau social d’investisseurs. En ligne depuis 2007, ce broker (courtier en ligne) permet en effet de s’exposer à différents produits financiers tel que les cryptomonnaies, les actions, les indices ou les Exchanges Traded Funds (ETF). Les utilisateurs peuvent aussi échanger entre eux et copier … Continued

Le 18 Jan 2024 à 12h30

Dans la même catégorie

LogX, le trading décentralisé boosté à l’Intelligence Artificielle

Le 19 avr. 2024 à 8:00

Un groupe de hackers en série débarque sur Blast : ZachXBT lance l'alerte

Le 15 avr. 2024 à 11:00

Comment protéger les développeurs de smart contracts des attaques étatiques ?

Le 13 avr. 2024 à 16:00

Ethena Labs : les craintes s'élèvent concernant l'USDe

Le 13 avr. 2024 à 12:00

27 millions $ liquidés « inutilement » ? Pac Finance sur Blast dans la tourmente

Le 12 avr. 2024 à 16:00

DeFi : la SEC cherche-t-elle à tuer Uniswap ? Son fondateur est prêt à se battre

Le 11 avr. 2024 à 11:00

Ethena (ENA) : stablecoin « synthétique » révolutionnaire ou prochain fiasco de type UST ?

Le 6 avr. 2024 à 14:30

Stablecoin : FRAX prend son envol sur Cosmos grâce à l'alliance avec Noble

Le 5 avr. 2024 à 17:00

Commentaires

3 responses à “Comment se faire 30 millions de $ en 4 heures ? Ils réussissent le coup du siècle, sur la Binance Smart Chain (BSC) !


ionys
Triste. A force de malhonnêteté on finira par réguler ce monde qui se voulait libertaire. Le temps est compté
Répondre · Il y a 3 ans

Jacques
L amour de l argent est la racine de tous les maux .l enfer éternel est réservé á ceux qui refusent l offre de grâce gratuite aujourd'hui .Dieu pourvoit à tout ceux qui se confir en Lui. Cest valable pour toi et moi.Ne tardes pas tu connaitras son indicible amour.Il vient bientôt .Pour Dieu mille ans c est comme un jour .Il te veut pour Lui, il a donné son Fils par amour pour chaque homme .Sois béni.Jacques
Répondre · Il y a 3 ans

bdr
Super... protection efficace, argent sale, gaspillage d'énergie pour produire ces foutus monnaies qui ne sont que de l'air! mettait hors la loi ces conneries...
Répondre · Il y a 3 ans

Votre email ne sera pas publié. En publiant un commentaire, vous acceptez notre politique de confidentialité.


Recevez un condensé d'information chaque jour