Un protocole qui a du bol – Cream est un protocole de la finance décentralisée (DeFi) hébergé sur Ethereum (ETH), proposant un service de lending. Le 31 août dernier, ses équipes avaient averti les utilisateurs que le projet avait été la cible d’une attaque. Au total, l’attaquant a réussi à dérober 462 millions de jetons AMP et 2 804 ETH, soit environ 25 millions de dollars. Aujourd’hui, Cream Finance annonce toutefois une bonne nouvelle.
2 hacks de suite pour Cream Finance
L’annonce de Cream Finance sur son hack a été faite le 1er septembre.
D’après les informations rapportées au moment des faits, l’attaquant a mené une attaque dite re-entrancy.
« La vulnérabilité de reentrancy dans le contrat de jeton AMP a permis à l’exploiteur d’imbriquer une deuxième fonction borrow() dans le transfert de jeton() avant que le borrow() initial ait été mis à jour. »
Afin de récupérer les fonds, les équipes ont alors proposé diverses récompenses :
- 50 % des fonds retournés pour n’importe quelle information pour retrouver l’attaquant ;
- 10 % des fonds dérobés laissés à l’attaquant si celui-ci restitue le reste.
« Nous avons tiré les leçons de ce hack et nous allons l’utiliser comme une opportunité pour renforcer notre protocole. Les hacks sont des revers, mais cela ne nous empêchera pas de remplir notre mission, qui est de favoriser l’efficacité du capital et de répondre aux besoins de prêts décentralisés des particuliers, des institutions et des protocoles. »
Annonce de Cream Finance
Malheureusement, ce n’est pas la première fois que le protocole a été la cible d’une attaque. En février dernier, un attaquant avait déjà réussi à dérober 37,5 millions de dollars dans les pools du protocole.
>> Prêt à rentrer dans le crypto-game ? Swissborg vous attend et vous offre jusqu”à 100 euros <<
Le Cream était presque parfait – Une partie des fonds restituée
Après avoir corrigé la faille et plus d’un mois d’investigation, les équipes de Cream viennent d’annoncer qu’une partie des fonds avait été récupérée. En effet, 5 152 ETH ont pu être recouvrés, soit un total de 17 millions de dollars sur les 25 millions dérobés.
« Suite à l’attaque du 31 août, nous nous sommes pleinement engagés à récupérer les fonds volés pour notre communauté. Nous tenons à confirmer que 5 152,6 ethers ont été récupérés. »
Les équipes expliquent avoir retrouvé l’attaquant grâce à l’aide de Lossless DeFi et Pascal Caversaccio. L’attaquant a accepté de restituer les fonds, en échange des 10 % promis après l’attaque. Les 2 entreprises ont, quant à eux, bénéficié des 50 % des fonds restitués, grâce aux informations qu’elles ont communiquées.
Reste maintenant à savoir si les internautes continueront à faire confiance au protocole, compte tenu des 2 attaques dont il a été victime au cours des 6 derniers mois.
Le protocole Compound est, lui aussi, au cœur de la tourmente. Un bug dans le code de son contrat de distribution des récompenses a entraîné la mise en danger de plusieurs millions de dollars en jetons COMP.
Les protocoles DeFi sont passionnants, mais parfois périlleux. Si vous préférez privilégier la tranquillité d’esprit, faites le choix de plateformes crypto plus traditionnelles. Actuellement, profitez de jusqu’à 100€ en cryptomonnaies offerts lors de votre inscription sur la plateforme Swissborg (lien affilié, pour un dépôt minimum de 50€)
