Hack de Bent Finance : l'attaque durait... depuis 3 semaines

Jamais 2 sans… 7 ?– La fin du mois de décembre arrive à grands pas, et celui-ci s’apprête à atteindre la deuxième place d’un bien triste classement. En effet, il aura été le deuxième mois avec le plus de hacks de 2021, comptabilisant pas moins de 7 hacks cryptos différents.

Bent Finance dans la sauce

Bent Finance est un protocole de la finance décentralisée (DeFi) hébergé sur la blockchain Ethereum (ETH). Celui-ci se présente comme « une plateforme de staking et farming visant à améliorer les rendements provenant de Curve Finance ». En pratique, le protocole permet de staker les jetons de pool provenant de Curve Finance pour obtenir des rendements supplémentaires.

Le mardi 21 décembre, les équipes de Bent Finance ont averti la communauté qu’un hack était potentiellement en cours. Cependant, Bent Finance avait déclaré, à ce moment-là, qu’aucun fonds n’avait été impacté.

Publication Twitter Bent Finance - annonce hack — Publication de Bent Finance – Source : Twitter

Malheureusement, des fonds ont bel et bien été dérobés. C’est ce qu’a annoncé l’entreprise PeckShield, quelques heures après l’annonce de Bent Finance. PeckShield a déclaré avoir identifié des transactions de hacks.

Publication Twitter PeckShield - annonce hack Bent Finance 1,75 million dollars — Publication de PeckShield – Source : Twitter

Dans les faits, l’attaquant a réussi à drainer l’équivalent de 1,75 million de dollars dans les pools de Bent Finance.

Une attaque commencée depuis bien longtemps

En règle générale, les attaques DeFi durent au maximum quelques heures. Cependant, le cas de Bent Finance est tout autre. En effet, d’après les informations rapportées par Rekt.news, l’attaque serait en cours depuis… le 30 novembre dernier.

En fait, le contrat cvxCRV de Bent Finance a été mis à jour le 30 novembre dernier afin de modifier le solde de l’adresse de l’attaquant. Cette mise à jour lui a permis de recevoir d’importantes quantités de récompenses… si bien que ces récompenses ont même dépassé la TVL du protocole.

« Bien que l’exploit soit actif depuis près de 3 semaines, le problème n’est apparu clairement qu’avec la récente inscription de Bent Finance sur DeBank, lorsque le profil du portefeuille de l’exploiteur a fait apparaître les milliards de dollars de récompenses en attente sur la plateforme. »
Rapport de Rekt.news

De son côté, l’attaquant a pris le soin de blanchir l’intégralité de son butin via le protocole Tornado Cash, à mesure que les fonds étaient retirés. Évidemment, le BENT, le jeton propre au protocole, a vu son cours se crasher dans les heures suivant les annonces. Effectivement, celui-ci est passé de 13,88 à 4,80 dollars en l’espace de quelques heures.

crash cours Bent dollar 13,88 à 4,80 dollars — Cours de Bent face au dollar – Source : CoinMarketCap

Cette attaque suit de près celle de Vulcan Forged, qui a causé la perte de 140 millions de dollars. Malheureusement, cela augmente une fois de plus le montant des hacks cryptos enregistrés en 2021.

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.

En voir +