Les hackers ne prennent pas de week-end – Depuis l’émergence de la finance décentralisée (DeFi) à la fin de l’année 2020, il ne s’est pas passé une semaine sans qu’un protocole soit la cible d’une attaque. Une fois n’est pas coutume, l’attaque dont nous allons parler aujourd’hui s’est déroulée pendant le weekend, à croire que les hackers ne prennent jamais de pause.
15 millions de dollars subtilisés sur Inverse Finance
Inverse Finance est un protocole de finance décentralisée proposant un service d’épargne et d’emprunt sur Ethereum. En parallèle, le protocole est à l’origine du stablecoin Dola.
Samedi 2 avril, l’entreprise d’analyse de blockchain Peckshield a notifié le protocole qu’une transaction suspecte avait été détectée.
Il n’aura pas fallu très longtemps avant que la thèse de l’attaque soit validée.
Ainsi, l’attaquant a réussi à dérober l’équivalent de 15 millions de dollars en cryptomonnaies, décomposée de la manière suivante :
- 1588 ETH ;
- 94 WBTC ;
- 4M DOLA ;
- 39.3 YFI.
Nouvelle attaque par manipulation d’oracle
Une fois n’est pas coutume, le mode opératoire utilisé par l’attaquant n’a rien de bien novateur. En effet, celui-ci a mené une attaque dite par manipulation d’oracle. L’objectif d’une telle attaque est de manipuler artificiellement le cours d’une cryptomonnaie dans le but de tromper un protocole.
Le cas de l’attaque d’Inverse Finance s’est déroulé en 3 grandes étapes :
- L’attaquant a retiré 901 ETH de Tornado Cash et en a utilisé 500 pour acheter des jetons INV sur Sushiswap ;
- L’achat massif de ces jetons a artificiellement gonflé le prix du INV ;
- L’attaquant a déposé ses jetons INV pour emprunter des ETH sur Inverse Finance. Ainsi, grâce à son inflation artificielle du prix, l’attaquant a pu emprunter 15,6 millions de dollars d’ETH en déposant seulement 644 000 dollars de jetons INV.
L’emprunt a été possible, car le smart contract d’Inverse Finance récupère les cours des différents jetons via l’oracle TWAP proposé par le DEX Sushiswap.
Sans grande surprise, le protocole Inverse Finance n’a jamais été audité. De surcroit, comme souligné par de nombreux internautes, il est extrêmement dangereux de se baser sur une seule et même source de donnée pour alimenter son smart contract.
Évidemment, une fois l’attaque finalisée, l’attaquant s’est empressé de faire transiter une partie des fonds via le protocole de mélange Tornado Cash afin de brouiller les pistes de son casse.
De leur côté, les équipes d’Inverse Finance explorent les différentes solutions qui s’offrent à elles pour la mise en place d’un plan de compensation.
« Nous envisageons plusieurs méthodes pour retourner les fonds aux personnes concernées, notamment en travaillant avec des partenaires d’Inverse Finance. »
Déclaration de Inverse Finance
Récemment, c’était le pont du réseau Ronin qui a été la cible d’une attaque. Dans ce cas, l’attaquant a pu s’en sortir avec un impressionnant butin de 600 millions de dollars.
Besoin d’un portefeuille sécurisé pour explorer les multiples applications de la DeFi ? la meilleure solution est encore un wallet hardware personnel. Chez Ledger, il y en a pour tous les profils et toutes les cryptos. N’attendez pas pour mettre vos capitaux en sécurité (lien commercial) !
