Ils volent 88 millions de dollars en un clic : sur Polygon, BonqDAO se fait hacker

Des millions de dollars envolés – Le mois de janvier fut plutôt calme du côté des hacks DeFi. Toutefois, février commence sur les chapeaux de roues, avec 88 millions de dollars dérobés au protocole BonqDAO.

BonqDAO : 88 millions de dollars envolés

BonqDAO est un protocole de finance décentralisée fonctionnant sur le réseau Polygon (MATIC). En pratique, BonqDAO propose des services de lending un peu spéciaux.

« Les utilisateurs peuvent accéder à la liquidité de leurs propres actifs numériques en les enfermant dans un trove, qui est un contrat intelligent contrôlé uniquement par les utilisateurs, et en mintant un stablecoin BEUR, indexé sur l’euro. »

Malheureusement, le 1er février, les équipes de BonqDAO ont alerté leurs utilisateurs d’une attaque.

https://twitter.com/BonqDAO/status/1620908233761378304

En pratique, il semblerait que l’attaquant ait réussi à compromettre l’oracle du protocole pour mener son attaque.

Au total, l’attaquant aurait réussi à dérober l’équivalent de 88 millions de dollars en cryptomonnaies. La majorité des fonds sont pour le moment détenus en BEUR, qui a vu son cours dégringoler d’une vingtaine de pour cent après l’attaque.

En parallèle, l’attaquant a transféré des fonds vers Ethereum, où il a converti environ 1,2 million de dollars en ETH et 500 000 en DAI.

Montants détenus l'attaquant.
Montants détenus l’attaquant – Source : DeBank.

 >> Diversifiez votre portefeuille ! Inscrivez-vous sur Trade Republic et recevez 20€ (sous condition de dépôt de 2000€) pour passer à l’action (lien commercial) <<

Comment l’attaque sur BonqDAO a-t-elle eu lieu ?

Pour le moment, peu d’informations ont été dévoilées quant au mode opératoire de l’attaque. Néanmoins, BonqDAO a tout de même apporté quelques éclaircissements dans ses diverses annonces.

Ainsi, nous apprenons que l’attaquant aurait mené une attaque par manipulation d’oracle. Pour ce faire, il aurait augmenté artificiellement le cours du jeton ALBT.

Une fois le cours gonflé à bloc, il a utilisé les ALBT pour créer des BEUR, en se basant sur le prix après manipulation du cours. Résultat, plus de 88 millions de dollars en jetons BEUR ont été créés.

« Les BEUR ont ensuite été échangés contre d’autres jetons sur Uniswap. Puis, le prix a été ramené à presque zéro, ce qui a déclenché la liquidation des jetons ALBT. »

Toutefois, il semblerait que les autres coffres du protocole n’aient pas été affectés par l’attaque. De leur côté, les développeurs de BonqDAO cherchent une solution pour permettre aux utilisateurs de retirer leur collatéral.

D’autres informations devraient être communiquées dans les prochains jours. Ces dernières devraient révéler les détails de l’attaque ainsi que les plans de BonqDAO concernant un remboursement des utilisateurs lésés.

Malheureusement, ce n’est ni la première ni la dernière attaque DeFi de l’année 2023. En effet, 2022 fut une année sanglante pour la DeFi et de nombreux experts s’accordent pour dire que 2023 n’échappera pas à la tendance.

République ou royaume ? Fromage ou dessert ? Actions ET cryptos ! Pourquoi choisir puisque vous pouvez avoir les deux sur la même plateforme ? Inscrivez-vous dès maintenant sur Trade Republic. Vous recevrez un cadeau de 20€ (sous condition de dépôt de 2000€) pour passer à l’action (lien commercial).

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.