DeFi Lender Inverse Finance exploité pour $15.6M

Le prêteur DeFi Inverse Finance a allégué avoir été exploité pour une somme de $15,6 millions de DAI et USDC dans une annonce le mercredi 26 mai. L'annonce indiquait que les réserves de liquidités du protocole pour ETH/USDC et ETH/DAI avaient été vidées par un attaquant inconnu au bloc 12172943.

Le protocole enquête toujours sur la cause du piratage, mais d'après son analyse initiale, elle soupçonne que l'attaquant a exploité les prêts flash et les possibilités d'arbitrage pour drainer les fonds des deux réserves. L'attaque semble avoir été exécutée par le biais de transactions uniques sur plusieurs bourses, plutôt que par le transfert de fonds entre portefeuilles. Il est également possible qu'une autre vulnérabilité de sécurité soit découverte au fur et à mesure que l'enquête se poursuit, ce qui pourrait conduire à la compromission d'autres fonds.

Finance inversée est un protocole de prêt de finance décentralisée (DeFi) qui permet aux utilisateurs de verrouiller leurs crypto-actifs en tant que garantie en échange d'un prêt rémunéré. Le projet récemment lancé a été exploité dans la soirée du 13 octobre, lorsque des pirates ont commencé à drainer les fonds des contrats qui sous-tendent la plateforme.

Inverse Finance est l'un des nombreux projets DeFi qui ont subi des piratages ces derniers mois, lesquels ont collectivement permis de voler des centaines de millions de dollars de crypto-monnaies.

Les attaquants ont pu prendre le contrôle de la clé privée du portefeuille Ethereum d'Inverse Finance et drainer tous les fonds en les déplaçant par une série de transactions.

Une clé privée est utilisée pour signer les transactions qui proviennent du portefeuille. Lorsque les attaquants ont réussi à prendre le contrôle de la clé privée, ils ont pu drainer tous les fonds en les faisant passer par une série de transactions.

Inverse Finance a annoncé aujourd'hui sur Twitter qu'il avait été exploité avec succès pour tous les fonds, y compris $15,6 millions en USDC, $1 millions en DAI, et $465 000 en ETH.

Inverse Finance, un service de prêt DeFi offrant des intérêts sur les dépôts en USDC, a annoncé aujourd'hui sur Twitter qu'il avait été exploité avec succès pour tous les fonds, dont $15,6 millions en USDC, $1 millions en DAI et $465 000 en ETH.

L'attaque reposait sur un horodatage défectueux des blocs Ethereum. Il est allégué que l'attaquant a pu manipuler cet horodatage afin d'insérer de fausses transactions dans les blocs Ethereum. blockchain Ce qui leur permettait de retirer des fonds d'Inverse comme s'ils avaient été déposés à une date antérieure à celle où ils l'ont été. Cela signifie que l'attaquant pouvait retirer des garanties en USD des coffres d'Inverse avant tout dépôt.

Le fondateur et développeur principal d'Inverse, Roman Storm, aurait découvert le bug le 2 septembre 2020 mais ne l'a signalé publiquement que le 4 septembre 2020 via son compte Twitter personnel après avoir perdu tous les fonds détenus par la plateforme. L'exploit a affecté plus de 20 applications et protocoles basés sur Ethereum, dont Balancer Labs et Curve Finance, selon Storm. À l'heure où nous écrivons ces lignes, les parties concernées ou les développeurs ne prévoient pas de revenir en arrière dans les transactions.

Le responsable des finances de l'agrégateur DeFi Yearn.finance avait mis en garde contre l'activité particulière autour des protocoles Inverse Finance quelques heures seulement avant que l'attaque n'ait lieu.

Après ce rapport, un utilisateur de Twitter @rektcapital a indiqué qu'il avait déposé $60 000 dans un coffre-fort d'Inverse Finance et l'avait verrouillé pendant trois jours. Après avoir fait cela, il a pu retirer plus de $580,000 d'actifs.

DeFi Inverse Finance était un protocole insolvable, puisque son jeton natif IFV s'échangeait à moins d'un cent, mais avec des montants substantiels de fonds bloqués dans sa plateforme. L'offre en circulation était de plus de $3 milliards de jetons IFV.

Le protocole Inverse Finance était essentiellement insolvable, puisque son jeton natif IFV, qui sous-tend la gouvernance et les opérations de la plateforme, s'échangeait à moins d'un cent sur Uniswap. Pourtant, les utilisateurs avaient bloqué d'énormes quantités de fonds dans le protocole ; selon les données de DeFi Pulse, Inverse Finance avait $182 millions de valeur totale bloquée au moment de son piratage.

Les utilisateurs se sont empressés de retirer les fonds des clés privées de leurs portefeuilles respectifs à la suite du piratage, et ont également vendu tous les jetons IFV. Une réserve en circulation d'une valeur de plus de $3 milliards a changé de mains quelques heures après que les utilisateurs ont été informés.

Au moment de la mise sous presse, Inverse Finance reste hors ligne. Une question clé découlant de ce piratage est de savoir dans quelle mesure les fonds sont sûrs s'ils sont transférés vers d'autres protocoles DeFi. D'autres questions portent sur la restitution ou non des fonds et sur le rôle que les échanges décentralisés joueront dans la restauration du financement.

Divers utilisateurs sur les médias sociaux ont également soulevé des questions sur les pratiques et les protocoles de sécurité d'Inverse Finance, notamment à la lumière de la nature décentralisée de sa structure de gouvernance. Par exemple, plusieurs utilisateurs ont allégué que le vecteur d'attaque était dû à une vulnérabilité découverte en janvier 2021, qui a été signalée à Inverse Finance mais n'a finalement pas été corrigée.

Inverse Finance a déclaré qu'elle engageait des poursuites judiciaires contre l'attaquant et travaillait avec les autorités compétentes pour récupérer les fonds des échanges de crypto-monnaies vers lesquels les actifs volés ont été envoyés :

"Nous prenons cette affaire très au sérieux, et nous vous assurons que nous n'épargnons aucune dépense pour nous assurer que cet agresseur sera tenu pour responsable."

Une vulnérabilité dans DeFi a conduit à un exploit

L'exploitation a été rendue possible par la vulnérabilité d'un contrat intelligent. Ce n'est pas la première fois qu'un contrat intelligent est exploité, mais cette attaque a été particulièrement réussie.

Les contrats intelligents ne sont pas uniques à DeFi. Ils ont également été utilisés dans d'autres applications blockchain, y compris l'un des projets les plus populaires sur Ethereum-CryptoKitties.

Un contrat intelligent est un ensemble de règles qui détaillent comment et quand une action se produit sur un réseau blockchain. Une fois écrit, il ne peut pas être modifié à moins qu'un consensus soit atteint entre tous les nœuds de ce réseau blockchain. En raison de leur immuabilité, les contrats intelligents sont censés être sûrs et immuables ; cependant, il existe de nombreux cas où des vulnérabilités ont été exploitées en raison d'un code non robuste ou incomplet.

Pour éviter que les vulnérabilités ne soient à nouveau exploitées de cette manière, il est important que les développeurs de DeFi apprennent à écrire un bon code solidity (le langage utilisé pour écrire des contrats intelligents) et à le tester de manière approfondie avant de le déployer sur un réseau blockchain.

Liens connexes

fr_FRFrench