Les hackers ne lâchent jamais l’affaire – En plus de 2 ans d’existence, l’écosystème de la finance décentralisée (DeFi) a apporté son lot d’innovations. Cependant, il semblerait que le soin apporté à la sécurité des protocoles ne soit pas à la hauteur des fonds qui y sont déposés. Ce nouveau mélodrame de Cream Finance (CREAM) en est la preuve.
Cream Finance : la descente aux enfers continue
Le mercredi 27 octobre, la société spécialisée dans la sécurité et l’analyse de blockchain, Peckshield, a identifié une transaction suspecte comportant un important flash loan. Très vite, une rumeur s’est répandue sur Twitter selon laquelle le protocole Cream Finance aurait été la cible d’une attaque.
Quelques heures plus tard, les équipes du protocole ont officialisé la nouvelle via leur compte Twitter :
« Nos marchés de prêt Ethereum C.R.E.A.M. v1 ont été exploités et la liquidité a été supprimée le 27 octobre. L’attaquant a retiré un total d’environ 130 millions d’USD de jetons de ces marchés, en utilisant cette adresse : 0x24354d31bc9d90f62fe5f2454709c32049cf866b. Aucun autre marché n’a été touché. »
Dans les faits, l’attaquant a utilisé son flash loan pour mener une attaque contre le protocole Cream Finance, lui permettant d’empocher un pactole d’environ 130 millions de dollars en cryptomonnaies. Heureusement, les équipes du protocole ont rapidement identifié et corrigé la faille, grâce à l’aide apportée par les développeurs du protocole iEarn Finance.
« Entre temps, nous avons mis en pause nos marchés de prêt v1 sur Ethereum et nous sommes en train de dresser un bilan post mortem. »
Avec 130 millions de dollars envolés, cette attaque se place à la troisième place des attaques DeFi les plus dévastatrices, derrière celles de Compound et de Poly-Network.
Les théories sur le déroulement de l’attaque de Cream Finance
Cream Finance n’a pas encore publié de post mortem de l’événement au moment de la rédaction de ces lignes. Cependant, après analyse de la transaction d’attaque, certains internautes ont pu identifier la méthode employée par l’attaquant.
Selon l’analyse publiée par @Cryptofishx sur Twitter, l’attaquant aurait profité d’une faille permettant de manipuler le prix du yUSDVault.
Pour rappel, le protocole iEarn propose une stratégie permettant de déposer un stablecoin dans la pool Curve 4pool comportant les actifs yUSDT + yUSDC + yDAI + yTUSD. En échange du dépôt, le protocole émet du yUSD. Cet actif peut ensuite être déposé dans un coffre-fort iEarn en échange du yUSDVault, un actif utilisable sur le protocole Cream.
Les étapes de l’attaque
Concrètement, l’attaquant aurait utilisé 2 adresses pour mener son forfait :
- Le compte A aurait emprunté 500 millions de dollars de DAI à MakerDAO via un flash loan ;
- Il aurait déposé ses DAI sur iEarn dans la pool yDAI, puis déposé tous les yDAI dans le 4pool pour obtenir des yUSD, qu’il aurait ensuite déposés dans Yearn pour obtenir du yUSDVault ;
- Les yUSDVault auraient ensuite été déposés sur Cream Finance en tant que collatéral pour recevoir du crYUSD ;
- Sur le compte B, l’attaquant aurait effectué un second flash loan de 2 milliards d’ETH, déposés sur le protocole Cream ;
- Cela lui aurait permis d’emprunter 500 millions de dollars en yUSDVault qu’il aurait ensuite déposés pour obtenir des crYUSD ;
- Les fonds auraient ensuite été transférés de l’adresse B vers l’adresse A ;
- La manœuvre aurait été répétée plusieurs fois, amenant le compte A à un solde de 1,5 milliard de dollars en crYUSD et de 500 millions en yUSDVault.
Ensuite, grâce à un jeu de retraits et de dépôts, l’attaquant aurait réussi à manipuler l’offre en circulation des yUSDVault, ce qui aurait augmenté artificiellement le prix du yUSDVault.
Pour finir, l’attaquant aurait retiré les fonds, en profitant d’un prix artificiellement gonflé, et aurait dégagé un profit de 130 millions de dollars, une fois les flash loans remboursés.
Le début de la fin pour Cream Finance ?
Ce nouveau hack pourrait bien secouer durablement le protocole Cream Finance. En effet, c’est la troisième fois en l’espace de 9 mois que le protocole est la cible d’une attaque. La première attaque, qui s’est déroulée en février 2021, a entraîné la perte de 37,5 millions de dollars. La seconde, en débu septembre, totalise une perte de 25 millions de dollars.
Au total, ce sont donc plus de 190 millions de dollars qui ont été dérobés au protocole cette année. Un montant qui aura de quoi rendre plus d’un investisseur frileux face au fait d’utiliser Cream Finance.
Cette nouvelle tombe extrêmement mal pour le protocole. En effet, celui-ci venait seulement de se remettre de sa précédente attaque, après avoir réussi à récupérer la 17 millions sur les 25 millions de dollars dérobés.
