150 millions de dollars d’Ethereum et de DAI ont été utilisés pour voler un fork de Yearn.finance

Please follow and like us:

Cela peut sembler être un record battu à ce stade, mais un autre protocole de finance décentralisée (DeFi) a récemment été exploité.

Et, encore une fois, l’exploit a eu lieu sur un concurrent de Yearn.finance (YFI).

Voici plus d’informations sur ce qui s’est passé. Et sur ce que les utilisateurs de la DeFi peuvent faire pour empêcher que leurs fonds ne soient attaqués à l’avenir.

Un fork de Yearn.finance, ValueDeFi piraté pour 7 millions de dollars

En août et en septembre, forker Yearn.finance était à la mode. Yearn.finance était rapidement devenu le chouchou de l’industrie de la cryptographie. Cela avec 1 milliard de dollars de dépôts et son jeton natif YFI arborant une capitalisation boursière équivalente d’un milliard de dollars.

Des forks sur forks ont été libérées.

YF Value (YFV), qui, comme Yearn.finance, a été commercialisé comme un endroit où les utilisateurs peuvent déposer des crypto-monnaies et obtenir un rendement régulier et sûr. Bien que son concept soit extrêmement similaire à Yearn.finance, la stratégie marketing a fonctionné. A son apogée début septembre, YFV avait une capitalisation boursière d’un peu moins de 150 millions de dollars.

Malheureusement, YFV n’est pas aussi sûr que prévu.

Samedi matin, les utilisateurs ont commencé à prendre note d’une importante transaction Ethereum impliquant Aave, Curve, Uniswap et YF Value (maintenant connue sous le nom de Value DeFi).

Dans cette transaction, un utilisateur avait retiré 80 000 ETH d’Aave dans le cadre d’un flash loan. Ainsi que 116 millions de dollars supplémentaires en DAI d’Uniswap.

Ces fonds ont ensuite été échangés pour manipuler le prix des pièces stables sur Curve. Cette manipulation a permis à l’attaquant d’obtenir des tokens de dépôt  d’une valeur supérieure à la valeur réelle des pièces stables qui sous-tendent ces tokens.

Au total, 7,5 millions de dollars de DAI ont été drainés de Value, bien que 2 millions de dollars aient été retournés au protocole par l’attaquant pseudonyme.

Image

Bien que malheureux pour les déposants, quelques heures avant l’attaque, Value s’est qualifié de «technologie la plus sécurisée et la plus avancée de l’espace DeFi». Affirmant que ses développeurs représentaient des failles bien connues dans les contrats intelligents Ethereum.

L’exploit de Value vient après que des attaques similaires aient eu lieu avec Akropolis et Harvest Finance.

Éviter les protocoles avec une mauvaise intégration d’Oracle

Le manque d’intégrations d’oracle appropriées est au cœur de bon nombre de ces exploits et vecteurs d’attaque potentiels. Un oracle est un logiciel qui fournit des données en dehors d’un système à ce système. Dans la DeFi, les oracles sont le plus souvent utilisés par les protocoles qui ont besoin de connaître le prix d’une crypto-monnaie.

Les oracles «honnêtes» utilisent une variété de mesures. Telles que l’utilisation d’un index ou la prise d’un instantané, pour atténuer le risque d’attaques de manipulation des prix.

Les protocoles exploités par les attaques de flas loan n’utilisaient pas les oracles correctement intégrés. Permettant de manipuler les prix inter-blocs des pièces stables au profit des exploiteurs.

 


Crédit: Lien source

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *