À chaque semaine son attaque – Un énième protocole DeFi a été hacké au cours du weekend. La victime, Value DeFi, a été dépouillée de 5,4 millions de DAI en un rien de temps. C’est qu’on finirait presque par s’habituer.
La folie des forks
L’essor de la finance décentralisée et les milliards de dollars qui sont impliqués dedans ont entraîné de nombreux développeurs à créer des forks de protocoles DeFi pour espérer obtenir leur part du gâteau.
Évidemment, le protocole abordé aujourd’hui, Value DeFi, en fait partie. Celui-ci a été lancé en août dernier et est issu d’un fork de yEarn.finance.
Le 15 novembre, de nombreux utilisateurs ont remarqué plusieurs mouvements dans l’écosystème DeFi. Peu de temps après, la communauté s’est rendue compte que ces ceux-ci faisaient partie d’une attaque d’envergure ciblant le protocole Value DeFi.
Au total, l’attaquant a réussi à dérober 5,4 millions de jetons DAI.
Flash loan, re-entrancy attack … La routine
Dans les faits, cette attaque n’a rien de novateur. En effet, comme de nombreuses attaques ayant visé la DeFi, elle a été réalisée grâce à des flash loans et une attaque re-entrancy. C’est le même type d’attaque dont a été victime les protocoles dForce et Harvest plus récemment, pour ne citer qu’eux.
Le développeur Valentin Mihov a publié un thread revenant sur le déroulement de l’attaque sur Twitter :
Selon lui, l’attaque s’est déroulée en 6 parties :
- L’attaquant a contracté 2 flash loans :
- 80 000 ETH sur Aave ;
- 116 millions de DAI sur Uniswap.
- Il a ensuite déposé 25 millions de DAI sur le vault Multicoin du protocole Value DeFi ;
- Il a converti les 80 000 ETH en USDT sur Uniswap ;
- Il a vendu l’ensemble des USDT et de ses DAI restants sur Curve, entraînant une augmentation déraisonnée du prix de l’USDC sur la pool 3pool qui contient du DAI, de l’USDT et de l’USDC ;
- Une fois le prix de l’USDC boosté par l’étape précédente, l’attaquant a retiré ses fonds du vault Value DeFi, enregistrant une plus-value de 8 millions de dollars ;
- Une fois les frais payés et les prêts remboursés, l’attaquant s’en est tiré avec 5,4 millions de DAI de bénéfice net.
Un attaquant plein de remords ?
Cette attaque a pourtant quelques points surprenants, non pas dans son déroulement, mais dans ce qui s’en est suivi.
Effectivement, sans raison apparente, le hacker a renvoyé 2 millions de DAI sur l’adresse deployer de Value DeFi, celle qui a permis de déployer le contrat du protocole.
Plus surprenant encore, l’une des victimes de l’attaque a envoyé un message au hacker via une transaction Ethereum, lui demandant de lui rendre ses fonds :
« J’ai perdu 100 000 dollars dans votre attaque. Je suis infirmière. Ce sont toutes mes économies. J’espère que vous pourrez me les rendre. Tout le monde va tomber malade. Pensez aux infirmières qui vous soignent quand vous êtes malade. Je vous souhaite de toujours être en bonne santé et de profiter du bonheur du monde. QUE DIEU VOUS BÉNISSE. »
Un message qui semble avoir rempli sa mission, car l’attaquant a renvoyé la moitié de la somme, soit 50 000 DAI, à l’internaute lésée.
Par la suite, les administrateurs du protocole ont également tenté de rentrer en contact avec l’attaquant en lui proposant un marché :
« Il est clair que nous n’étions pas aussi bien informés que nous le pensions. Que diriez-vous d’un million de DAI comme prime, en échange de la rstitution du reste des DAI dérobés à nos utilisateurs ? Nous avons un plan visant à rembourser les membres de notre communauté, mais vous pourriez accélérer ce processus. » – Message des administrateurs de Value DeFi
Ce dernier message est pour le moment resté sans réponse. Quoi qu’il en soit, les équipes du protocole ont prévu de partiellement rembourser leurs utilisateurs lésés avec les 2 millions de DAI renvoyés par l’attaquant.
