Akropolis, un autre jour, un autre hack: 2 millions $

Please follow and like us:

Avec des milliards de dollars en jeu, il n’est pas surprenant que l’espace de la finance décentralisée (DeFi) regorge de hacks et d’exploits sur des contrats innocents. Le dernier en date celui d’Akropolis

Pour nommer l’un des nombreux exploits récents des contrats DeFi, Harvest Finance a été piraté pour 25 à 33 millions de dollars en stablecoins. En raison d’une soi-disant «attaque de flash loan». Il y avait une faille de logique économique que les développeurs de Harvest n’avaient pas prise en compte. Permettant à un attaquant, d’être techniquement capable de drainer des fonds.

Des vecteurs d’attaque similaires ont été exploités avec des contrats comme celui d’Eminence Finance. Un jeu basé sur Ethereum dans lequel les utilisateurs investissent des millions malgré aucune annonce de lancement officielle.

Nouveau sur la finance décentralisée, c’est par là pour l’explication => la DeFi expliquée

Akropolis pirate Etherscan
Les transactions de piratage sur Etherscan

Sans oublier, il existe un certain nombre de bugs révolutionnaires qui sont corrigés avant de pouvoir être exploités. Par exemple, les développeurs de Yearn.finance (YFI) ont dû corriger un bug qui aurait permis à un utilisateur de voler 650 000 $ de stablecoins à l’un de ses produits. Le bug était similaire à celui utilisé pour drainer les fonds de Harvest.

Malheureusement, tous les bugs ne peuvent pas être détectés avant d’être exploités.

Aujourd’hui, environ 2 millions de dollars de DAI Stablecoin de MakerDAO ont été drainés d’Akropolis. Akropolis est un protocole DeFi complet qui vise à permettre aux «normies» d’économiser et de gagner sur leurs stablecoins. Leur produit d’épargne est celui qui a été exploité par un attaquant inconnu.

L’application Ethereum DeFi Akropolis piratée pour 2 millions de dollars

Tôt jeudi, les analystes d’Ethereum et les utilisateurs d’Akropolis ont commencé à remarquer des transactions suspectes impliquant le produit d’épargne d’Akropolis, appelé Delphi.

Rapidement, il est devenu clair qu’une attaque avait eu lieu.

Les données en chaîne ont indiqué que DAI d’Akropolis avait été canalisé dans une adresse qui interagissait avec le protocole des dizaines de fois par minute. Suggérant que quelque chose se préparait.

Sur une période de vingt minutes, l’attaquant a envoyé des dizaines de transactions à un certain nombre de pools d’épargne Delphi d’Akropolis. Drainant à chaque fois une somme de DAI du total du pool.

Au total, 2 030 000 DAI avaient été retirés d’Akropolis de manière apparemment illicite.

Ces stablecoinss ont été envoyées à une adresse et y sont restées depuis. L’attaquant apparent n’a pas encore envoyé de transaction à partir de l’adresse où se trouvent les fonds exploités.

Qu’est-il arrivé?

La société d’audit et de sécurité des crypto-actifs PeckShield s’est concentrée sur DeFi au cours des derniers mois. Il a détaillé les détails de l’attaque quelques heures après qu’elle se soit produite.

Pour faire simple, l’attaquant a utilisé un flash loan de dYdX pour tromper les contrats intelligents d’Akropolis. En leur faisant croire qu’il déposait des fonds que l’attaquant n’avait pas réellement. Alors que certains fonds ont été déposés, l’attaquant a reçu des tokens de liquidité d’une valeur supérieure au montant déposé. Créant un écart pouvant entraîner des retraits importants du pool.

Pour tout comprendre sur le flash loan => les prêts flashs

«L’exploitation a conduit à un grand nombre de pooltokens frappés sans être adossés à des actifs précieux. Le rachat de ces pooltokens frappés est ensuite exercé pour drainer environ 2,0 millions de DAI des pools YCurve et sUSD concernés », a écrit Peckshield.

Akropolis a également répondu à l’attaque, écrivant qu’ils sont en train de réviser le code. Et ils recherchent des moyens de rembourser les utilisateurs du protocole qui ont été affectés.

Seuls deux des dix pools de la plate-forme ont été concernés par cela.

 

Crédit: Lien source

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *