Zunami prend l’eau. Zunami est un protocole d’agrégation de rendement spécialisé dans les stablecoins sur Ethereum. Pour faire simple, vous y déposez vos stablecoins, et le protocole trouve les opportunités DeFi les plus intéressantes pour les faire travailler. Malheureusement, le protocole a été victime d’un hack à plusieurs millions de dollars.
2,1 millions de dollars partis en fumée sur Zunami
Le 14 août au petit matin, les équipes de PeckShield ont sonné la sonnette d’alarme. En effet, le protocole Zunami, hébergé sur Ethereum, a semble-t-il, été la cible d’un hack.
Selon les premières estimations, environ 2,1 millions de dollars ont été dérobés lors de l’attaque. Rapidement, les équipes de Zunami ont alerté leurs utilisateurs et les ont invités à ne pas acheter le d’UZD ou zETH :
« Il semble que les zStables aient subi une attaque. Veuillez ne pas acheter de zETH et d’UZD pour le moment, car leur émission a été impactée. »
De son côté, le hacker n’a pas perdu une seule minute. Directement après l’attaque, celui-ci a transféré l’intégralité des fonds dérobés via le protocole Tornado Cash, lui permettant de brouiller les pistes.
Une situation qui ne laisse que peu d’espoir de négociation pour Zunami. Effectivement, la plupart du temps, les hackers qui envoient directement les fonds sur Tornado Cash n’envisagent pas la possibilité de trouver un accord avec le protocole.
Une attaque réussie à cause d’une manipulation de prix
Selon les premières informations rapportées par PeckShield, le protocole a été hacké suite à une manipulation de prix. Celle-ci a pu être exploitée du fait d’un mauvais calcul de prix dans le smart contract. C’est la pool zStables, déployée sur le protocole Curve Finance, qui a été ciblé par l’attaque.
La manœuvre est désormais assez courante dans l’écosystème DeFi. Encore une fois, l’attaquant a contracté un flashloan sur le protocole Balancer. Il a ensuite déposé les fonds empruntés sur Zunami.
L’objectif étant de manipuler le prix du jeton sous-jacent, ce qu’il a réussi à faire. Une fois le prix manipulé, il a entrepris de trader le jeton à un prix gonflé artificiellement.
Finalement, le hacker a retiré ses liquidités, revendu l’intégralité des jetons et remboursé le flashloan. Au total, il a obtenu 1 152 ETH pour lui-même, soit 2,13 millions de dollars.
Selon le rapport des équipes d’Ironblocks, il s’agit là d’une « manipulation classique des prix ».
Bien que la pool zStables de Curve ait été impacté par le hack, ce n’est pas le protocole Curve qui est à l’origine de la faille, mais bien les jetons de Zunami. Ainsi, cela n’a aucun lien avec le hack massif récemment enregistré par Curve.
our dormir l’esprit tranquille, équipez-vous d’un wallet hardware sécurisé Ledger, il y en a pour toutes les bourses. Votre sécurité n’a pas de prix (lien commercial).
