Hack-Scam-Faille

Ethereum : comment voler 25 millions de dollars en un clic

Trading du CoinTrading du Coin

Le protocole dForce vise à couvrir l’ensemble des facettes de l’écosystème DeFi avec son stablecoin, ses pools de liquidité et son service de prêt décentralisé. Faute de sécurité, un des smart contracts du protocole a été hacké et l’ensemble des 25 millions de dollars impliqués dans le protocole ont été drainés. 

25 millions évaporés

Après que la rumeur ait fait le tour des réseaux sociaux, l’attaque a été confirmée sur le Telegram officiel de dForce. Celle-ci a eu lieu le 18 avril au bloc 9 989 681 de la blockchain Ethereum et a causé la perte de 25 millions de dollars en tokens. Ainsi, les fonds impliqués dans le protocole sont passés de 25 millions de dollars à 6$ en l’espace de quelques heures

dForce hack
Fonds impliqués dans dForce. Source.

Bien que les détails concernant l’attaque n’aient pas encore été révélés, certains internautes supposent que l’attaquant a tiré avantage d’une faille présente dans l’ERC 777. Cette faille a déjà causé la perte de 300 000$ sur la pool de liquidité imBTC de la plateforme Uniswap. 

Pour réaliser l’attaque, le hacker aurait effectué un grand nombre de requêtes de retrait sur le smart contract d’Uniswap et a réussi à retirer les fonds avant le que le solde n’ait été mis à jour par le contrat. 

Au moment de la rédaction, le CEO de dForce a annoncé être entré en contact avec le hacker qui s’est dit “prêt à discuter avec eux”. 

Des failles de sécurité

Pour beaucoup, cette faille n’a rien de surprenant. En effet, une partie du protocole dForce, à savoir le service de prêt Lendf.Me, est une copie du code du protocole Compound. Selon le CEO de Compoud, cela explique en partie qu’une telle faille n’ait pas été adressée : 

« Si un projet n’a pas l’expertise nécessaire pour développer ses propres smart contracts, et qu’il vole et redéploie à la place le code protégé par les droits d’auteur de quelqu’un d’autre, c’est le signe qu’il n’a pas la capacité ou l’intention de prendre en compte la sécurité. »

L’entreprise dForce a toutefois annoncé être en contact avec les autorités compétentes ainsi que diverses plateformes d’échanges pour essayer de traquer et bloquer les fonds volés. 

Image : Champ008/Shutterstock.com

Renaud H.
Étudiant ingénieur en software et en systèmes distribués, crypto-enthousiaste depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.

LAISSER UN COMMENTAIRE

Votre adresse de messagerie ne sera pas publiée.En publiant un commentaire, vous acceptez notre politique de confidentialité.

S'il vous plaît entrez votre commentaire!
Veuillez entrer votre nom ici