La tourmente continue pour Eurler Finance – Après le dépeg de l’USDC ce weekend, l’actualité crypto est de nouveau marquée par un hack. Cette fois, c’est le protocole Euler Finance qui en a fait les frais. Désormais, celui-ci tente désespérément de négocier avec le hacker.
Hack Eurler Finance : 196 millions de dollars dérobés
Euler Finance est un protocole de lending hébergé sur Ethereum qui permet aux utilisateurs d’épargner et d’emprunter des cryptomonnaies de manière décentralisée.
Le protocole a été la cible d’une attaque le 13 mars, avec plus de 196 millions de dollars dérobés.
Selon un post-mortem partagé par Euler Finance il semblerait que l’attaquant ait exploité un manque de vérification dans les contrats d’Euler Finance.
En effet, Euler Finance permet à ses utilisateurs de créer un effet de levier artificiel en émettant et déposant des actifs dans la même transaction. La faille réside dans le fait que le mécanisme de donation ne vérifie pas la santé du compte qui effectue le don.
Par conséquent, l’attaquant a pu exploiter cette faille pour créer une position extrême et se liquider lui-même dans le même bloc, en faisant artificiellement passer sa position sous l’eau.
Au total, cette opération lui a permis de conserver environ 8,75 millions de dollars de profit. Il a par la suite réitéré l’opération sur plusieurs autres actifs du protocole.
Euler Finance propose 1 million de dollars pour retrouver le hacker
Mercredi 15 mars, Euler Labs a annoncé une récompense de 1 million de dollars en échange d’informations qui permettraient de mener à l’arrestation du hacker.
« Aujourd’hui, la Fondation Euler lance une récompense d’un million de dollars dans l’espoir d’inciter davantage à la recherche d’informations permettant l’arrestation du pirate du protocole Euler et la restitution de tous les fonds extraits par le pirate. »
Peu de temps après cette annonce, le hacker a commencé à déplacer des fonds vers le protocole Tornado Cash afin de brouiller les pistes.
Euler Labs avait précédemment envoyé un message on-chain à l’adresse du hacker. Ces derniers l’avaient averti qu’ils lanceraient une récompense si 90% des fonds n’étaient pas restitués dans les 24 heures.
Précédemment, ils avaient proposé au hacker de conserver 10% des fonds (soit environ 20 millions de dollars) en tant que récompense de bug bounty.
Un utilisateur meilleur en négociation qu’Euler
Alors qu’Euler peine à négocier avec le hacker, un utilisateur a quant à lui réussi l’impensable.
Le 15 mars, un utilisateur a tenté le tout pour le tout en contactant le hacker via un message on-chain. Dans son message, il supplie le hacker de lui restituer « les économies de toute une vie » perdues sur Euler Finance.
« Je ne suis qu’un utilisateur qui n’a que 78 wstETH comme économies de toute une vie déposées dans Euler. Je ne suis ni une baleine ni un millionnaire. Vous ne pouvez pas imaginer dans quel pétrin je me trouve en ce moment, complètement détruit. Je suis presque sûr que 20M est déjà un changement de vie pour vous et que vous allez redonner de la joie à beaucoup de personnes affectées. »
Nous avons déjà vu dans le passé des dizaines de tentatives de ce genre suite à des hacks. Cependant, notre utilisateur a eu la chance de sa vie.
En effet, comme l’a dévoilé @ScorpeProtocol, le hacker a semble-t-il pris l’utilisateur en pitié et lui a transféré 100 ETH, d’une valeur de 164 000 dollars au moment de la rédaction de ces lignes. Cela représente 22 ETH de plus que ce qu’avait demandé l’utilisateur.
Suite à cela, d’autres victimes ont envoyé des messages à l’adresse du hacker dans l’espoir de récupérer leurs fonds également, sans succès.
Pour l’instant, les utilisateurs touchés par ce hack peuvent seulement espérer un dénouement favorable. Récemment, le protocole Tender.fi avait réussi à négocier avec son hacker pour qu’il restitue 1,59 million de dollars.
Les catastrophes et les hacks, ça n’arrive pas qu’aux autres ! Il vaut mieux ne jamais confier la sécurité de vos cryptomonnaies à un tiers. Pour dormir l’esprit tranquille, équipez-vous d’un wallet hardware sécurisé Ledger, il y en a pour toutes les bourses. Votre sécurité n’a pas de prix (lien commercial).
