Comment Pickle Finance, concurrent de YFI, a été exploité pour 20 millions de dollars

Please follow and like us:

Appelez cela un hack ou appelez cela un exploit. Hier, un attaquant inconnu a réussi à drainer 20 millions de dollars d’un agrégateur de rendement. Basé sur Ethereum appelé Pickle Finance vers sa propre adresse.

Nouveau sur la finance décentralisée, formez vous => l’explication de la DeFi

N’hésitez pas à nous suivre sur twitter  ou sur facebook

Cette attaque était assez différente et beaucoup plus complexe que les précédents exploits DeFi. Laissant certains se demander s’il s’agissait d’un piratage interne.

Qu’est-ce que Pickle Finance?

Pickle Finance a été lancé au milieu de l’engouement pour le foodcoin de l’été. Au cours duquel les développeurs publiaient à la fois des projets alimentaires absurdes et des projets sympas avec une marque alimentaire (Yam, par exemple). Pickle (cornichon en français) faisait partie de cette dernière catégorie.

Au début, il a été lancé comme un moyen d’essayer de manipuler le prix des pièces stables hors ancrage. Le protocole offrirait plus de récompenses agricoles aux pièces stables moins chères et offrirait moins aux pièces stables qui étaient au-dessus de l’ancrage du dollar.

Cela a apparemment fonctionné, avec le DAI de MakerDAO, qui se négociait à 1,03 $ ou 1,04 $ à l’époque, pour se rapprocher de 1,02 $.

Depuis ces origines, Pickle Finance est devenu un projet d’agrégateur de rendement, similaire à Yearn.finance (YFI).

L’explication du Yield Farming => le Yield Farming

Un agrégateur de rendement est un projet qui trouve les meilleurs rendements que les projets ont à offrir. Puis optimise les gisements pour maximiser le rendement.

Le hack

Vers la mi-journée d’hier, les utilisateurs ont commencé à remarquer une transaction suspecte impliquant le pDAI Jar de Pickle. Ou la stratégie par laquelle DAI obtient des récompenses agricoles.

Les tableaux de bord indiquaient que le pot avait été vidé pour 20 millions de dollars. Mais sans annonce ni administrateur sur Discord, Twitter ou Telegram à l’époque. Il y avait une confusion quant à ce qui s’est passé.

Rapidement, il fut conclut qu’il s’agissait d’une attaque. L’utilisateur qui avait effectué cette transaction suspecte n’avait rien à voir avec le Pickle Finance. Il a deployer, et a également financé son compte avec 10 ETH de Tornado Cash, un mélangeur qui obscurcit les origines d’Ethereum.

Image

L’analyse initiale de l’attaque était légère. Celle-ci était beaucoup plus compliquée que les attaques précédentes. Qui impliquaient des flash loans et des manipulations de prix. Celui-ci semblait avoir exploité des parties défectueuses du code de Pickle d’une manière extrêmement intelligente.

L’explication du flash loan => les prêts flashs

Après que les théories aient volé pendant plusieurs heures. Les utilisateurs ont commencé à remarquer quelque chose de suspect à propos de la fonction swapExactJarforJar dans le contrat du contrôleur Pickle Finance.

Les réactions

Ingénieur de contrat intelligent Emiliano Bonassi expliqué que l’attaquant a déployé un pot diabolique qui ressemblait à l’original. Puis a échangé les fonds du pot Pickle Finance d’origine contre le leur. Il n’y avait aucune vérification qui empêchait cette fonction d’échange d’être utilisée par une adresse non-admin / de gouvernance. Et aucune vérification que le Jar en cours d’échange était celui approuvé par la gouvernance / timelock.

Une analyse plus approfondie a été terminé par Vasa, ingénieur et écrivain blockchain.

Hayden Adams, fondateur d’Uniswap, répondais à l’incident en déclarant :

Les développeurs de Pickle Finance ont conseillé à tous les utilisateurs de retirer des fonds pour le moment. Car on craint que l’exploit ne soit reproductible avec les millions restants sur la plate-forme.


Crédit: Lien source

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *