Hack de Hundred Finance sur Optimism : 7 millions de dollars envolés
Un nouveau hack secoue la DeFi – Cette fois-ci, c’est sur le réseau de seconde couche d’Ethereum Optimism que l’affaire s’est produite. La plateforme de prêts cryptos Hundred Finance a subi un hack d’ampleur ce week-end.
Faille du protocole Hundred Finance : le hacker prend 7 millions
Un peu plus d’un an après un premier hack qui lui avait subtilisé un peu plus de 11 millions de dollars, rebelote pour le service de prêts cryptos Hundred Finance. Cette plateforme de lending, déployée sur Optimism, le layer 2 d’Ethereum, vient de subir un second hack ce 15 avril.
« La perte actuelle estimée est d’environ 7 millions de dollars.
Une nouvelle fois, nous espérons que le hacker nous contactera et que nous serons en mesure de trouver un compromis afin de résoudre ce problème.
Merci à tous pour votre soutien et votre aide durant ces temps difficiles. »
Hundred Finance travaille actuellement avec ses équipes de sécurité afin d’analyser l’origine du hack. Selon la société d’analyse Certik, l’attaquant aurait profité d’une faille dans le protocole. Plus exactement, il aurait exploité le rapport de conversion entre les tokens au standard ERC-20 sur Ethereum et les htokens. Ces derniers sont supposés être des jetons équivalents distribués par le protocole lui-même, Hundred Finance.
« L’attaquant de Hundred Finance a manipulé le rapport de conversion entre les tokensERC-20 et les htokens, ce qui lui a permis de retirer plus de tokens que ce qu’il avait initialement déposé. La perte estimée via cette attaque est d’environ 7,4 millions [de dollars].
Soyez vigilants. »
La DeFi : un monde en construction, un terrain de jeu des hackers
Cette attaque de type « flash loan » permet au hacker de récupérer plus de fonds qu’il n’en dépose. De fait, il peut ainsi vider les caisses d’un protocole s’il n’est pas bloqué à temps. L’attaquant se serait servi des fonds dérobés pour manipuler le prix d’un actif au sein de la DeFi (finance écentralisée).
« Les formules de conversion de l’exchange auraient été manipulées à travers la valeur ‘Cash’. ‘Cash’ est le montant de WBTC contenu au sein du smart contract hBTC. L’attaquant l’aurait manipulé en fournissant de grosses quantités de WBTC au contrat hBTC afin de faire grimper le taux de conversion de l’exchange. »
Déclaration de Certik
Via ce taux de conversion artificiellement boosté, le hacker aurait ainsi pu retirer de l’exchange des montants bien supérieurs à ceux déposés.
Dans le milieu, innovant certes, de la DeFi, mais en pleine construction, les hacks sont légion. L’année 2022, particulièrement bien fournie en catastrophes de ce type, en est le parfait exemple. Toutefois, ce sont les challenges et difficultés d’aujourd’hui qui permettront demain de bâtir cette finance du futur. Ils sont le terreau de protocoles robustes qui nous permettront, espérons-le, de profiter d’une liberté financière retrouvée, dans un monde où le contrôle des banques sur notre argent tend à se renforcer.
En crypto, ne faites pas l’économie de la prudence ! Ainsi, pour conserver vos avoirs cryptographiques à l’abri, la meilleure solution est encore un wallet hardware personnel. Cerise sur le gâteau, Ledger vous offre 30 $ en BTC pour l’achat d’un Nano X et 20 $ pour un Nano S Plus. N’attendez pas pour mettre vos capitaux en sécurité (lien commercial) !