Le 18 novembre dernier, la plateforme d’échange décentralisée dYdX a été la cible d’une attaque. Au total, 9 millions de dollars ont été siphonnés par le hacker. Rapidement, la plateforme a utilisé son fonds d’assurance pour combler le trou créé par l’attaque. Désormais, les équipes reviennent sur cet incident à travers la publication d’un post morterm.
Une stratégie méticuleusement préparée
Mercredi 3 janvier, les équipes de dYdX ont publié un post mortem revenant sur les pertes enregistrées par la plateforme en novembre dernier.
Comme nous l’avons abordé en introduction, l’incident de dYdX a eu lieu le 18 novembre dernier. Toutefois, à la lumière des informations révélées dans le post mortem, nous apprenons qu’il ne s’agit pas en soi d’une attaque, mais plutôt d’une large manipulation de marché qui a mal tourné.
Ainsi, entre le 29 octobre et le 3 novembre, l’attaquant a créé pas moins d’une centaine de comptes sur dYdX. Au total, environ 5,3 millions de dollars ont été déposés à travers ces comptes.
Initialement, l’ensemble de ces comptes ont pris des positions LONG x5 sur la pool SUSHI-USD.
Peu après avoir déployé son armée de comptes, des adresses liées à l’attaquant ont commencé à acheter des jetons SUSHI sur plusieurs plateformes d’échange. Si bien, que le cours du jeton a augmenté de 180% entre le 31 octobre et le 3 novembre, passant de 0,67$ à 1,20$.
L’attaquant a alors entrepris de retirer des profits de ses positions LONG en plus d’en créer de nouvelles en utilisant de nouvelles adresses. Au total plus de 130 adresses différentes ont été utilisées par le hacker.
Face à de tels mouvements, les équipes de dYdX ont flairé la potentielle manipulation de prix:
« Reconnaissant cette activité comme une manipulation potentielle du marché par un seul attaquant, nous avons augmenté l’exigence de marge initiale à 100%, dans le but d’empêcher d’autres retraits rentables de ces transactions. Lorsque le prix de SUSHI s’est stabilisé et que les activités du marché sont revenues à la normale, l’exigence de marge a été réajustée. »
Explique le post mortem
Jusqu’ici la situation était sous contrôle. Néanmoins, l’attaquant a décidé de tourner son attention vers un autre marché.
YFI-USD : la stratégie tourne au fiasco
Face au succès de sa stratégie sur SUSHI et suite aux importants bénéfices engrangés via les positions LONG, l’attaquant s’est tourné vers le marché YFI-USD.
Rebelote, des centaines d’adresses prennent des positions LONG sur dYdX pendant que d’autres adresses achètent massivement des jetons en spot engendrant une hausse de plus de 200% du YFI. Même scénario que pour le SUSHI, l’attaquant retire au fur et à mesure des profits issus des LONG tout au long de la montée du jeton YFI. De son côté, dYdX augmente la marge initiale afin de sécuriser son marché.
Malheureusement, le 18 novembre, le marché du YFI crash subitement. En effet, contrairement au SUSHI qui est resté au-dessus du dollar suite à la manipulation du trader, le YFI ne réagit pas pareil.
De son côté, l’attaquant n’a pas le temps de clôturer ses positions LONG et voit chacun de ses comptes se faire liquider. Malheureusement pour dYdX, face à une trop faible liquidité du jeton YFI, les liquidations n’ont eu lieu qu’après que le prix fourni par l’oracle passe en dessous de la limite de banqueroute.
Par conséquent, la vague de liquidation des positions de l’attaquant a entraîné la création d’une mauvaise dette sur dYdX. C’est à ce moment que la plateforme a décidé d’utiliser une partie des fonds de son fonds d’assurance pour renflouer le protocole.
« Au total, le pirate a réussi à retirer environ 27 millions de dollars du dYdX v3, après y avoir déposé environ 16 millions de dollars. Les activités de trading de l’attaquant ont conduit à une ponction de plus de 9 millions de dollars sur le fonds d’assurance. »
Une situation complexe
Vous l’aurez compris, nous sommes ici à la limite entre le trader dont la stratégie a tourné au fiasco et l’attaquant. Heureusement, dYdX dispose d’un fonds d’assurance pour renflouer le protocole lorsque ce type d’événement survient.
Plus récemment, la plateforme Radiant Capital déployée sur Arbitrum a elle aussi été la cible d’un hack. Au total, le hacker a été en mesure de dérober 4,5 millions de dollars.
