Arnaqueur, quand tu nous tiens – Chaque semaine, voire jour, des protocoles de la finance décentralisée (DeFi) sont victimes d’attaques ou d’arnaques. Failles dans le code, développeurs qui partent avec la caisse : les cas sont nombreux. Aujourd’hui, c’est le protocole Hope Finance qui est sous le feu des projecteurs après un rug pull.
Hope Finance perd 2 millions de dollars
Hope Finance est un projet tué dans l’œuf. En effet, ce projet qui devait, semble-t-il, proposer un stablecoin algorithmique sur le layer 2 d’Arbitrum, a été victime d’une arnaque.
Hope Finance devait voir le jour le 20 février sur Arbitrum. D’après le compte Twitter du projet, le lancement s’est déroulé sans accrocs aux alentours de 15 h. Rapidement, de nombreux utilisateurs ont déposé leurs fonds sur la plateforme.
Cependant, un peu moins de deux heures après le lancement, le protocole a annoncé sur Twitter qu’un arnaqueur avait dérobé 1,8 million de dollars :
« FUCKING SCAMMER!!!! HE SCAMMED COMMUNITY FOR 2 MILLION DOLLARS »
L’annonce faite sur Twitter est accompagnée d’une photo de l’arnaqueur posant avec sa carte d’identité. Cette dernière a vraisemblablement été modifiée pour réaliser un faux KYC. Au lendemain de la disparition des fonds, Hope Finance a publié un nouveau message expliquant cette fois aux utilisateurs comment utiliser la fonction de retrait d’urgence.
>> Jouez la sécurité ! Inscrivez-vous sur Binance, et économisez 10% de frais (lien commercial) <<
Un arnaqueur dans l’équipe de Hope Finance ?
Bien que les détails soient encore flous concernant cette affaire, il semblerait que nous soyons en présence d’un rug pull. Selon les informations compilées par la société Certik, l’attaque provient effectivement d’un membre du protocole.
L’attaquant aurait, dans un premier temps, déployé un faux smart contract de Router. Il a ensuite mis à jour le contrat « SwapHelper » afin qu’il utilise le faux routeur précédemment déployé. Cette manœuvre a été menée par les équipes du protocole. Effectivement, les 3 détenteurs des clés composant le multisig de Hope ont signé la transaction.
De surcroît, la variable « _swapExactTokenForTokens » a été modifiée pour pointer sur l’adresse du portefeuille de l’arnaqueur. Par conséquent, lorsqu’un emprunt en USDC est fait sur le protocole, les WETH à convertir sont transférés au contrat TradingHelper pour qu’ils soient convertis en USDC. Cependant, suite aux modifications de l’attaquant, le contrat envoyait en réalité les fonds vers le wallet du hacker.
Au total, l’attaquant a pu dérober environ 800 000 dollars en WETH et 1 million en USDC. Toutefois, la position qu’occupait l’arnaqueur dans le projet n’est pas encore claire. Sans surprise, l’attaquant a rapidement fait transiter les fonds via le protocole Tornado Cash pour brouiller les pistes.
Les résultats d’un audit tout bonnement ignorés par le protocole
Malheureusement, ce scénario rencontré par Hope Finance n’est pas si surprenant. En effet, il semblerait que les différents contrats qui composent le protocole étaient loin d’être parfaits.
En réalité, l’audit publié par la société Cognitos le 7 février concernant les contrats de Hope Finance faisait état de plusieurs vulnérabilités, dont 2 majeures. Les contrats présentaient une faille permettant notamment une attaque reentrancy.
De surcroît, d’après les informations révélées par Cognitos après l’attaque, les équipes de Hope Finance n’ont, semble-t-il, pas tenu compte des résultats de l’audit. Sur les 4 allers-retours qu’a connus le code après l’audit, seules 10 % des vulnérabilités mises en évidence avaient été corrigées.
Malheureusement, si les développeurs de dApps continuent de ne pas tenir compte des résultats d’audit, l’écosystème va connaître encore plus de hacks. Actuellement, de nombreux experts s’accordent sur le fait que 2023 pourrait être bien plus sanglante que 2022 pour les hacks DeFi.
Les hacks sont des aléas malheureux, mais pas une fatalité. Besoin de tranquillité d’esprit pour vos cryptos ? Inscrivez-vous vite sur la plateforme Binance, LA référence absolue du secteur, et économisez 10 % sur vos frais de trading en suivant ce lien (lien commercial).
