Tout comprendre sur le hack DeFi de 25 millions de dollars

Please follow and like us:

L’espace de la finance décentralisée (DeFi) est à nouveau sous les projecteurs. Cela dut à un autre piratage ou exploit. Cette fois, environ 25 millions de dollars de pièces stables basées sur Ethereum ont été volés.

Bien que ce ne soit pas le plus grand piratage de l’histoire de la cryptographie, cela a déjà été qualifié de notable. Effectivement, le projet qui a été exploité était Harvest Finance. La plateforme de rendement a attiré beaucoup d’attention au cours des dernières semaines. Surtout, après qu’un certain nombre d’investisseurs notables de la DeFi ont commencé à le mentionner et à utiliser la plateforme. Certains l’ont qualifié de concurrent «Yearn.finance». Il le comparait dans une certaine mesure les deux plateformes.

Comment 25 millions de dollars de pièces stables basées sur Ethereum ont été volés à Harvest

Tard dans la soirée du 25 octobre, les utilisateurs d’Ethereum ont commencé à remarquer des transactions importantes en chaîne. Ces dernières impliquaient un certain nombre d’applications DeFi cruciales: Uniswap, Curve et Harvest Finance.

Avec un si grand nombre de transactions, il est devenu clair que quelque chose clochait.

Les analystes ont rapidement souligné que l’attaquant était probablement en train de mener une sorte d’attaque d’arbitrage. Où ils utilisaient des prêts flash pour drainer systématiquement des fonds de Harvest en raison d’inefficacités entre les protocoles.

Un prêt flash est un concept natif de la DeFi dans lequel un utilisateur peut emprunter une quantité massive de capital (souvent des pièces stables) en une seule transaction sans fournir de garantie. Puis s’assurer de restituer les fonds (plus des frais supplémentaires) à la fin de cette transaction. .

Une transaction suspecte est mise en évidence dans l’image ci-dessous:

Au total, 25 millions de dollars de pièces stables ont été volés dans les pools de Harvest Finance. Grâce à plusieurs de ces transactions. Les pièces stables ont depuis été converties en RenBTC. A leur tour ont été échangées contre BTC. Le portefeuille Bitcoin de l’attaquant n’a pas encore été identifié.

2,5 millions de dollars ont été retournés à l’administrateur de Harvest Finance pour une raison inconnue. Cette dernière somme sera restituée aux utilisateurs au prorata.

Les retombées dans l’espace de la DeFi sont indéniable. Il y avait un certain engouement pour Harvest car ils étaient la première équipe DeFi entièrement anonyme à avoir construit une application à cette échelle. Il y en a cependant qui dénigrent les concepts d’équipes anonymes, arguant qu’il est probable qu’il s’agissait d’un travail interne.

Des gagnants inattendus

Les analystes ont partagé des informations en ligne indiquant que, comme ce piratage impliquait Curve et Uniswap, ceux qui fournissaient des liquidités aux pools profitaient largement de l’exploit, même s’ils n’approuvaient pas ce qui se passait.

Selon les estimations, les fournisseurs de liquidité Uniswap ont gagné environ 6 000 000 $ tandis que les fournisseurs de liquidité Curve ont gagné 1 000 000 $.

Loin de la première attaque de flash loan

C’est loin d’être la première attaque basée sur un prêt flash sur une application DeFi.

Comme beaucoup s’en souviennent, le fondateur de Yearn.finance, Andre Cronje, a publié des contrats de test pour une expérience de jeu en chaîne appelée Eminence Finance. Alors que les contrats étaient clairement une expérience, les utilisateurs ont accumulé 15 millions de dollars de DAI.

Les fonds ont été volés dans le contrat par quelqu’un qui a utilisé un prêt flash pour drainer les fonds du pool.

D’autres attaques DeFi ont également tiré parti des prêts flash. Pour arbitrer rapidement les inefficacités entre les protocoles DeFi, permettant ainsi de voler ou au moins de transférer des fonds de ceux qui ne connaissaient pas l’arbitrage à ceux qui en avaient connaissance.

On pourrait soutenir que ce ne sont pas des «exploits» en soi, mais simplement des inefficacités naturelles sur le marché DeFi.

Crédit: Lien source

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *