La menace plane sur Fantom (FTM) : Deus finance exploité pour 3 millions de dollars
Un nouveau hack frappe la DeFi – Forte de ses 6,6 milliards de dollars évoluant entre ses différents protocoles, Fantom se positionne à la 6e place des blockchains DeFi. Malheureusement, celle-ci n’est pas exempte de risque. Les utilisateurs de Deus Finance viennent de l’apprendre à leurs dépens, suite à une attaque entrainant la perte de 3 millions de dollars.
3 millions de dollars dérobés sur Deus Finance
Deus Finance est un protocole cross-chain permettant à ses utilisateurs de créer tout type d’instruments financier. Celui-ci évolue sur 7 blockchains différentes, à savoir Ethereum, Fantom, Gnosis Chain, Heco Chain, BNB Smart Chain, Polygon et Avalanche.
Mardi 15 mars, les équipes de Peckshield, entreprise spécialisée dans l’analyse et la sécurité des blockchains, ont annoncé qu’une attaque avait ciblé le protocole Deus Finance.
En pratique, c’est l’instance de Deus Finance hébergée sur la blockchain Fantom qui a été victime de cette attaque. Au total, l’attaquant a réussi à dérober l’équivalent de 3 millions de dollars en cryptomonnaies. Son butin se compose de 1 101,8 ETH et environ 200 000 DAI.
Attaque par manipulation d’oracles
Depuis l’émergence de la finance décentralisée à la fin de l’année 2020, celle-ci a été témoin d’une multitude d’attaques. Les attaquants profitent la plupart du temps de failles présentent dans les smart contracts des protocoles.
Dans le cas de Deus Finance, l’attaquant a mené une attaque par manipulation d’oracles. Ainsi, celui-ci a contracté un flashloan dans le but de manipuler le prix de la paire USDC/DEI. Cette paire est celle utilisée par l’oracle de Deus pour vérifier les prêts à liquider. Une fois le cours manipulé, l’attaquant a liquidé de nombreux utilisateurs dont les prêts étaient passés en défaut suite au changement de cours.
Selon Peckshield, l’attaque s’est déroulée en 7 étapes :
- Flashloan de 9,7 millions de DEI sur le protocole SpiritSwap ;
- Flashloan de 24,7 millions de DEI sur le protocole Solidly, qui a entrainé une modification importante du cours ;
- Liquidation des utilisateurs dont les prêts sont tombés en défauts ;
- Remboursement du prêt de 24,7 millions de DEI ;
- Destruction des LP reçus par la liquidation, pour obtenir 5,2 millions d’USDC et 5,2 millions de DEI ;
- Swap des USDC en DEI ;
- Remboursement du premier flashloan.
Par la suite, l’attaquant a converti son butin de DEI en USDC puis l’a envoyé sur Ethereum via le pont Multichain (anciennement AnySwap). Une fois sur Ethereum, les fonds ont transité via le protocole Tornado Cash pour brouiller les pistes.
Les équipes de Deus Finance ont ultérieurement annoncé qu’un remboursement des pertes aurait lieu.
« Nous allons créer un contrat sur lequel vous pourrez rembourser votre dette et récupérer vos sAMM qui ont été liquidés, nous allons également mettre en place une fonctionnalité qui vous permet d’échanger des DEI contre une petite allocation MUON. (en payant avec l’allocation de mon équipe). »
Lafayette Tabor.
Cette semaine marque ainsi le retour des attaques par flashloan. En effet, le même jour, les protocoles Hundred et Agave Finance ont tous deux été exploités grâce à l’utilisation d’un flashloan. Le montant des pertes s’élève à 11,7 millions de dollars.