Solana : ils volent 8,7 millions de $ en un clic, Crema Finance en PLS

La DeFi mord encore la poussière – La sécurité est une caractéristique vitale pour un protocole DeFi qui souhaite prospérer. En effet, des hackers sont en permanence à la recherche de la moindre faille. Le protocole Crema Finance, hébergé sur Solana (SOL), vient de l’apprendre à ses dépens suite à un hack s’élevant à 8,7 millions de dollars

Pools de liquidités siphonnées : Crema Finance perd une sacrée somme

Crema Finance est un protocole d’exchange décentralisé hébergé sur la blockchain Solana. Concrètement, celui-ci propose des pools de liquidités concentrées, permettant des swaps efficients et avec très peu de slippage. 

Le samedi 2 juillet, le protocole a alerté ses utilisateurs qu’une attaque ciblant ses pools de liquidités était en cours. Évidemment, les équipes du protocole ont rapidement mis ce dernier en pause pour tenter de limiter la casse. 

Le samedi 2 juillet, Crema Finance a alerté ses utilisateurs qu’une attaque ciblant ses pools de liquidités était en cours.
Crema Finance a alerté ses utilisateurs qu’une attaque était en cours – Source : Twitter

Quelques heures plus tard, le bilan est tombé. Le hacker a dérobé 8,7 millions de dollars en cryptomonnaies. Plus en détail, son trésor se compose de 69 422 SOL and 6 497 738 USDCet. Sans grande surprise, les fonds ont rapidement été envoyés sur la blockchain Ethereum via le pont Wormhole. Ils y ont ensuite été échangés contre 6 064 ETH sur Uniswap. 

Les équipes ont annoncé suivre activement les fonds et le moindre transfert. De surcroît, ces dernières se sont dites ouvertes à la négociation, laissant une chance à l’attaquant de restituer les fonds en échange d’une récompense

>> Une plateforme sûre pour acheter vos cryptos ? Inscrivez-vous sur PrimeXBT (lien affilié) <<

Tick account et flash loans : le combo gagnant du pirate

Le dimanche 3 juillet, les équipes de Crema Finance ont publié un premier post-mortem via Twitter, permettant de retracer l’attaque. 

Le dimanche 3 juillet, les équipes de Crema Finance ont publié un post-mortem concernant l'attaque qui a permis de siphonner 8,7 millions de dollars
Post-mortem publié par Crema Finance au lendemain du hack – Source : Twitter

À vrai dire, l’attaquant a mené son attaque en trompant les smart contracts de Crema Finance. Pour ce faire, il a créé un faux « tick account ». Pour information, les tick accounts aident à stocker le prix d’une paire donnée sur la plateforme d’échange. 

Cela lui a permis de transmettre son adresse comme une adresse légitime pour donner le prix d’un actif. Il a ensuite déployé un smart contract pour effectuer plusieurs flash loans sur Solend, en empruntant : 

  • 400,000 USDH ;
  • 5,500,000 USDT ; 
  • 10,500 mSOL ;
  • 57,000 stSOL ;
  • 840,000 PAI.

Les fonds empruntés ont, par la suite été, déposés dans les pools de liquidités de Crema Finance. Pour finir, l’attaquant a utilisé son tick account corrompu pour gonfler les frais associés à ses dépôts.

« Sur Crema Finance, le calcul des frais de transaction repose principalement sur les données du tick account. Par conséquent, les données authentiques de frais de transaction ont été remplacées par des données falsifiées, de sorte que le pirate a achevé le vol en réclamant un énorme montant de frais à partir des pools. »

Post-mortem de Crema Finance

Crema Finance à 2 doigts de trouver son hacker ?

Lors de leur enquête, les équipes de Crema Finance ont réussi à retrouver l’adresse Ethereum de l’attaquant. 

En analysant celle-ci de plus près, nous voyons que l’adresse de l’attaquant a effectué une transaction de 5 ETH quelques heures avant l’attaque. En pratique, cette transaction mène à une première adresse, d’où les fonds ont directement été renvoyés vers une seconde adresse, que nous appellerons 0x077D.

En effet, cette adresse dispose d’un important solde d’ETH qui fluctue en permanence, rythmé par des entrées et sorties toutes les quelques minutes. Depuis sa création, celle-ci a reçu plus de 300 000 ETH

En regardant les commentaires liés à cette adresse sur Etherscan, nous pouvons voir que celle-ci est liée à une autre arnaque, potentiellement perpétrée par le même hacker. 

Commentaire sur l'adresse 0x077D.
Un commentaire sur l’adresse 0x077D

En recherchant plus d’informations sur cette adresse, nous sommes tombés sur des internautes expliquant que leurs fonds y avaient été transférés après avoir été dérobés dans des arnaques de type « fake giveaway ». Ces fake giveaways avaient notamment été menés via des lives sur des chaînes YouTube compromises

En fin de compte, notre attaquant n’en est peut-être pas à son coup d’essai. Si cela est vraiment le cas, il y aura peu de chances qu’il tente de négocier avec les équipes de Crema Finance concernant une restitution des fonds en échange d’une récompense. 

Récemment, le protocole XCarnival a, lui aussi, été la cible d’une attaque. Heureusement pour le protocole, l’attaquant a accepté de restituer la moitié des fonds dérobés.

Les hacks sont des aléas malheureux mais pas une fatalité.. Jouez la sécurité et inscrivez-vous dès maintenant sur la plateforme PrimeXBT (lien affilié).

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.

Recevez un condensé d'information chaque jour