Ethereum hack

DeFi : Balancer perd 500 000$ suite à un hack

Trading du CoinTrading du Coin
5
(1)

L’écosystème DeFi ne s’est jamais aussi bien porté que la semaine passée. L’engouement a principalement été engendré par le lancement des jetons de gouvernance COMP et BAL. Malheureusement, un hack du côté de Balancer est venu ternir le week-end !

500 000 dollars de pertes

Les rapports concernant le potentiel piratage de Balancer ont commencé à faire le tour de Twitter dans la journée de dimanche. La rumeur fut par la suite confirmée par le chercheur Steven Zheng :

Par la suite, les équipes en charge du protocole ont donné les détails de l’attaque. Ainsi, selon cette publication, l’incident aurait eu lieu à cause de tokens ayant des frais de transfert, dits “déflationnistes”.

Une fois de plus, c’est un flash loan (prêt instantané) qui a permis à l’attaquant de profiter et d’exploiter une faille dans le système de Balancer. Résultat des courses : 500 000 $ de jetons wETH envolés. 

Détails de l’attaque

Comme ce fut le cas pour les hacks successifs de bZx, cette attaque n’a été possible que grâce à l’existence des flash loans, ces prêts qui ne durent que le temps d’une transaction.

Ainsi, l’attaquant a contracté un prêt en ETH sur dYdX, qu’il a converti en wETH. Il a par la suite échangé à de nombreuses reprises (24 fois en tout) ses ETH pour des Statera (STA).

Pour chaque transaction, STA applique des frais de transfert de 1% (qui sont détruits) et la pool s’attend à recevoir un solde sans ces frais. Une fois l’opération répétée un grand nombre de fois, l’attaquant a finalement réussi à vider la pool STA.

Une fois la pool vide, le cours du STA a été artificiellement gonflé, ce qui a permis à l’attaquant de drainer d’autres pools (wBTC, SNX ou LINK) contre du STA dont le cours était sous hormones.

Comme l’a souligné Balancer, cette attaque n’a pas été réalisée par un amateur, mais bel et bien par un expert, tout à fait au courant de ses agissements et de leurs conséquences :

« La personne derrière cette attaque était un ingénieur en smart contract très sophistiqué et intelligent, possédant une connaissance et une compréhension approfondie des principaux protocoles DeFi. L’attaque était organisée et bien préparée à l’avance. »

Quoi qu’il en soit, il semblerait que l’erreur soit tout de même du côté de Balancer, qui avait été averti de la faille au début du mois de juin dans le cadre de son bug bounty. Cet incident rappelle également les mises en garde de Vitalik Buterin face au manque de communication autour des risques des protocoles DeFi.

Vous avez apprécié cet article ?

Cliquez pour lui donner votre note !

Moyenne 5 / 5. Nombre de votes : 1

Pas encore de votes ! Soyez le premier à noter cet article.

Renaud H.
Étudiant ingénieur en software et en systèmes distribués, crypto-enthousiaste depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.

1 COMMENTAIRE

  1. Pfff, quoi qu’il en soit, les promesses de sécurité “extrême” concernant les cryptos et la blockchain, on en est mais tellement loin (en vrai c’est impossible). Vivement la puce au front ou à la main droite avec encore plus de falsifications possibles de la part de nos élites. Le cash va bientôt disparaître, et personne ne pourra ni acheter ni vendre quoi que ce soit sur cette planète sans cette fameuse marque de la bête. Alors allez-y, jetez-vous dans la gueule du loup bandes d’insensibles complètement déshumanisés et individualistes. Tous les mondes (politique, financier, sanitaire, social, etc…) sont en train de s’effondrer sous nos yeux et vous pensez que c’est en essayant de faire fortune avec du bitcoin ou n’importe quelle autre crypto que vous allez sauver votre peau? Haha
    www. [modération] .com

LAISSER UN COMMENTAIRE

Votre adresse de messagerie ne sera pas publiée.En publiant un commentaire, vous acceptez notre politique de confidentialité.

S'il vous plaît entrez votre commentaire!
Veuillez entrer votre nom ici