Ethereum : comment voler 25 millions de dollars en un clic
Le protocole dForce vise à couvrir l’ensemble des facettes de l’écosystème DeFi avec son stablecoin, ses pools de liquidité et son service de prêt décentralisé. Faute de sécurité, un des smart contracts du protocole a été hacké et l’ensemble des 25 millions de dollars impliqués dans le protocole ont été drainés.
25 millions évaporés
Après que la rumeur ait fait le tour des réseaux sociaux, l’attaque a été confirmée sur le Telegram officiel de dForce. Celle-ci a eu lieu le 18 avril au bloc 9 989 681 de la blockchain Ethereum et a causé la perte de 25 millions de dollars en tokens. Ainsi, les fonds impliqués dans le protocole sont passés de 25 millions de dollars à 6$ en l’espace de quelques heures.
Bien que les détails concernant l’attaque n’aient pas encore été révélés, certains internautes supposent que l’attaquant a tiré avantage d’une faille présente dans l’ERC 777. Cette faille a déjà causé la perte de 300 000$ sur la pool de liquidité imBTC de la plateforme Uniswap.
Pour réaliser l’attaque, le hacker aurait effectué un grand nombre de requêtes de retrait sur le smart contract d’Uniswap et a réussi à retirer les fonds avant le que le solde n’ait été mis à jour par le contrat.
Au moment de la rédaction, le CEO de dForce a annoncé être entré en contact avec le hacker qui s’est dit “prêt à discuter avec eux”.
Des failles de sécurité
Pour beaucoup, cette faille n’a rien de surprenant. En effet, une partie du protocole dForce, à savoir le service de prêt Lendf.Me, est une copie du code du protocole Compound. Selon le CEO de Compoud, cela explique en partie qu’une telle faille n’ait pas été adressée :
If a project doesn't have the expertise to develop it's own smart contracts, and instead steals and redeploys somebody else's copyrighted code, it's a sign that they don't have the capacity or intention to consider security.
Hope developers & users learn from the @LendfMe hack.
— Robert Leshner (@rleshner) April 19, 2020
« Si un projet n’a pas l’expertise nécessaire pour développer ses propres smart contracts, et qu’il vole et redéploie à la place le code protégé par les droits d’auteur de quelqu’un d’autre, c’est le signe qu’il n’a pas la capacité ou l’intention de prendre en compte la sécurité. »
L’entreprise dForce a toutefois annoncé être en contact avec les autorités compétentes ainsi que diverses plateformes d’échanges pour essayer de traquer et bloquer les fonds volés.
Image : Champ008/Shutterstock.com