Oublier son butin, un comble pour un voleur – Il ne passe pas une semaine sans que l’écosystème de la finance décentralisée (DeFi) soit témoin d’une attaque. Évidemment, cette semaine ne déroge pas à la règle. Pourtant, le hack du protocole Zeed se différencie des autres par l’idiotie de son initiateur.
Zeed est un protocole déployé sur la BNB Smart Chain. Celui-ci se présente comme un « écosystème financier intégré décentralisé ».
Celui-ci combine la plupart des services communs à la DeFi, à savoir une plateforme d’échange décentralisée, des actifs dérivés, un stablecoin, une plateforme de lending ainsi qu’un pont entre blockchains.
Le 21 avril dernier, l’entreprise BlockSec, spécialisée dans l’audit et la surveillance de protocole DeFi, a alerté la communauté qu’une attaque avait ciblé le protocole Zeed.
Ainsi, selon les premières informations publiées au moment des faits, il semblerait qu’un attaquant ait profité d’une faille dans la distribution des récompenses du protocole.
>> Peur des hacks de la DeFi ? Privilégiez des plateformes telles que Swissborg ! (lien affilié) <<
Au lendemain de l’attaque, les équipes de Zeed ont publié un post-mortem revenant sur le déroulement de celle-ci.
Selon les informations révélées, la vulnérabilité impactait la distribution des récompenses aux fournisseurs de liquidités lors d’un swap.
En pratique, lorsqu’un utilisateur effectue un swap, le jeton va récompenser les fournisseurs de liquidité (LP). En théorie, cette récompense est divisée en trois parts avant d’être distribuée aux LP. Cependant, une vulnérabilité dans le code ne divisait pas la récompense en trois, impliquant une distribution supplémentaire de jetons.
Ainsi, pour mener son attaque, l’utilisateur a créé une paire USDT/YEED sur Pancakeswap. Il a par la suite contracté un flash loan pour acheter massivement des YEED contre des USDT, avant de les revendre dans la même transaction. Cela a enclenché le mécanisme de récompense vulnérable, lui permettant de générer des jetons YEED supplémentaires.
L’attaquant a pu générer un butin de 1 million de dollars en revendant l’excédent de jetons générés. En parallèle, la vente massive de jeton a radicalement entrainé le prix du YEED vers le bas.
L’histoire aurait pu s’arrêter là. Cependant, l’attaquant a finalisé son attaque par une bourde monumentale.
En effet, l’attaque a été menée via un smart contract déployé par l’attaquant. Par conséquent, l’intégralité du butin issu de l’attaque était détenue par ledit smart contract.
Ainsi, après avoir mené son hack, l’attaquant a eu la bonne idée d’appeler la fonction self-destruct de son contrat, visant à détruire ce dernier. Malheureusement pour lui, cette fonction a été appelée avant même d’avoir retiré les fonds du contrat.
Par conséquent, l’intégralité des 1 million de dollars dérobés au protocole Zeed s’est retrouvée bloquée sur le contrat. Impossible pour qui que ce soit, même l’attaquant lui-même de remettre la main sur ces fonds.
La semaine dernière, le protocole Beanstalk a, lui aussi, été victime d’une attaque. Dans ce cas, l’attaquant a mené une attaque dite de gouvernance via l’utilisation de plusieurs flash loans.
Les hacks à répétition de protocoles DeFi invitent à la plus grande prudence. Ce n’est pas pour autant que vous devez rester spectateur de la révolution crypto ! Inscrivez-vous sur SwissBorg afin de vous exposer aux cryptomonnaies en toute sérénité ! Dernier jour pour profiter d’un bonus exceptionnel doublé jusqu’à 200€ offerts pour tout dépôt minimum de 50€ (lien affilié)
Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.
Pour aller plus loin
Entrez dans la cour des grands du trading de cryptos : nos astuces pour performer sur FTX
Afin de vous familiariser avec le trading de produits dérivés, nous vous proposons une entrevue complète de FTX et son interface de trading. Rappel : le trading comporte des risques importants, et vous pouvez perdre la totalité de votre capital. Cet article est conçu dans un but éducatif, et ne constitue en aucun cas un … Continued
Dans la même catégorie
Recevez un condensé d'information chaque jour
Suivant
Gratuit
recevez votre guide PDF complet
Comment débuter dans les cryptos en 2022
Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.
Cette option doit être activée à tout moment afin que nous puissions enregistrer vos préférences pour les réglages de cookie.
Si vous désactivez ce cookie, nous ne pourrons pas enregistrer vos préférences. Cela signifie que chaque fois que vous visitez ce site, vous devrez activer ou désactiver à nouveau les cookies.
Ce site utilise Google Analytics pour collecter des informations anonymes telles que le nombre de visiteurs du site et les pages les plus populaires.
Garder ce cookie activé nous aide à améliorer notre site Web.
Veuillez activer d’abord les cookies strictement nécessaires pour que nous puissions enregistrer vos préférences !