Après son hack, Rari Capital alloue une fortune en compensation à ses utilisateurs
Rari Capital rectifie rapidement son erreur – La DeFi est décidément un des écosystèmes les plus dynamiques de la sphère crypto, mais il n’est pas connu que pour ses prouesses. En effet, les hacks sont chose courante sur ses divers protocoles et c’est au tour de Rari Capital d’en faire les frais. Au total, celui-ci a essuyé une perte de 11 millions de dollars.
La première attaque cross chain à déplorer
Le samedi 8 mai à 17 h, les équipes du protocole DeFi Rari Capital ont informé les utilisateurs qu’une attaque avait été menée contre leur pool ETH. Ce sont 60 % des fonds présents dans la pool qui ont été drainés par l’attaquant, ce qui représente 2 900 ETH, soit environ 9,3 millions d’euros au cours actuel.
Comme à son habitude, le chercheur Igor Iganberdiev travaillant pour The Block est revenu sur les évènements.
D’après son analyse, cette attaque est une grande première, car elle concerne 2 blockchains bien distinctes.
En réalité, le malfrat a d’abord exploité le coffre-fort vSafe du protocole Value DeFi, évoluant sur la Binance Smart Chain. Ce sont donc 5 346 BNB qui ont été convertis en ETH et transférés sur Ethereum via le pont AnySwap.
Une fois ces fonds dérobés en sa possession, l’attaquant a pu les utiliser pour mener la seconde attaque, cette fois contre le protocole Rari Capital.
Le déroulement de l’attaque
Concrètement, l’attaquant a profité de l’interopérabilité entre Rari Capital et le protocole Alpha Finance. Ce dernier propose un jeton appelé ibETH, dont la fonction « work » permettait de manipuler la valeur de ibETH.totalETH().
L’attaque s’est déroulée comme ceci :
- L’attaquant a déposé des ETH dans les pools de Rari Capital ;
- Il a manipulé à la hausse la valeur de ibETH.totalHETH() de manière artificielle ;
- Il a retiré plus d’ETH que déposés, car la valeur de ibETH.totalETH() était erronée.
Un autre audit qui laisse à désirer
Comme si le malheur de Rari Capital ne suffisait, il semblerait le code exploité par l’attaquant avait aussi été audité par Quantstamp qui n’avait pas décelé la faille. Malgré tout, la responsabilité de la perte de fonds revient au protocole.
Pour atténuer le sinistre, les différents contributeurs du protocole se sont ainsi accordés pour allouer 2 millions de jetons RGT (le jeton propre à Rari Capital) au DAO du protocole afin de rembourser les utilisateurs lésés.
« Alors qu’il était initialement prévu de faire grandir l’équipe, tous les contributeurs du protocole ont choisi de redonner ces 2 millions de RGT au DAO en demandant d’utiliser les RGT nouvellement acquis pour rembourser les fonds perdus et récompenser ceux qui ont aidé dans la salle de crise. »
Annonce de Rari Capital publiée le 9 mai
Ce n’est pas donné à tous les utilisateurs que d’être remboursés suite à une attaque de ce genre sur la DeFi. Heureusement, Rari Capital a eu l’opportunité de rectifier le tir, puisqu’il est le principal responsable d’une perte plutôt énorme. Il faudrait que les protocoles de la finance décentralisée revoient sérieusement leur méthode d’audit pour éviter un tel désagrément à leurs utilisateurs à l’avenir.