Harvest Finance, un projet de financement décentralisé (DeFi) dirigé par une équipe anonyme, a été attaqué à l’aide d’un exploit de prêt flash plus tôt dans la journée, conduisant à des millions de dollars de jetons FARM volés par des pirates et ses prix chutant de plus de 60% au moment de la presse.
“L’attaque économique a été effectuée via le pool de la courbe y, étirant le prix des pièces stables dans Curve hors de proportion et déposant et retirant un grand nombre d’actifs grâce à la récolte”, a expliqué l’équipe de Harvest Finance dans un tweet.
L’attaque économique a été effectuée via le pool de la courbe y, étirant le prix des pièces stables dans Curve hors de proportion et déposant et retirant une grande quantité d’actifs grâce à la récolte.
Pour protéger les utilisateurs, nous avons tiré les fonds de stratégie de pool y et de courbe btc vers le coffre-fort
– Financement des récoltes (@harvest_finance) 26 octobre 2020
Les attaquants ont apparemment exploité le réseau en utilisant une fonction de «prêt flash» – un outil utilisé pour prêter des actifs aux crypto-traders pour une garantie zéro tant que la transaction entière est incluse dans un seul bloc.
En termes simples, en contractant un énorme prêt, les attaquants ont gonflé le prix de certains jetons sur Curve Finance (un autre projet DeFi stablecoin) et l’ont utilisé pour extraire faussement des jetons de Harvest. Les données de l’explorateur de blocs ont montré que les attaquants avaient réussi à accumuler plus de 24 millions de dollars pour leurs efforts.
24m de bénéfices. https://t.co/2d05Lfhx8Q pic.twitter.com/N5BkJ8A7hg
– jiecut (@ jiecut42) 26 octobre 2020
Harvest Finance a noté que l’exploit était similaire à d’autres attaques économiques d’arbitrage, celle de ce matin provenait d’un grand prêt flash, et «a manipulé les prix d’un lego monétaire (pool de courbe Y) pour drainer un autre lego d’argent (fUSDT, fUSDC), à plusieurs reprises.”
“L’attaquant a ensuite converti les fonds en renBTC et est sorti en BTC”, a déclaré l’équipe dans un tweet.
Comme d’autres attaques de prêt flash, l’attaquant n’a pas donné le temps de répondre, effectuant l’attaque en 7 minutes de bout en bout.
Portefeuille de l’attaquant sortant via renBTChttps: //t.co/O6hqnmtXXC
La source: @ devops199fan
– Financement des récoltes (@harvest_finance) 26 octobre 2020
Plus tard, dans une démarche éminente, les attaquants ont renvoyé plus de 2,4 millions de dollars au déployeur sous la forme d’USDT et USDC. Ce montant sera distribué aux déposants concernés au prorata à l’aide d’un instantané, a déclaré l’équipe de Harvest dans un tweet. Cependant, cette décision a attiré la suspicion de certains milieux, comme l’ancien leader du Monero, Riccardo Spagni:
«L’attaquant» a renvoyé des fonds parce que ce sont des gens très gentils. Si ce n’est pas une preuve solide que «l’attaquant» et «les développeurs» sont les mêmes alors je ne sais pas ce que c’est. https://t.co/lNcE2DkcA6
– Riccardo Spagni (@fluffypony) 26 octobre 2020
Certains aiment Qiao Wang, chef de produit de l’ex-Messari déclaré le déménagement a été un revers pour l’espace anonyme DeFi:
«Je voulais vraiment voir les équipes anon / pseudon réussir dans la crypto, mais jusqu’à présent, nous n’avons encore que BTC et sans doute XMR je pense. La récolte est un énorme revers pour anon DeFi. »
Pendant ce temps, le directeur de la recherche de The Block, Larry Cermak, a noté sur Twitter que les exploits avaient conduit à une résurgence temporaire du volume des échanges sur le protocole d’échange décentralisé Uniswap. Le DEX a souffert au cours des dernières semaines et son volume a chuté à moins de 150 millions de dollars par jour – jusqu’à ce matin.
92% de ce volume provenait des paires USDT / ETH et USDC / ETH. Et ils ont généré 5,76 millions de dollars pour les LP en honoraires. pic.twitter.com/1566htLwfG
– Larry Cermak (@lawmaster) 26 octobre 2020
L’exploit est le dernier d’une série de projets DeFi qui ont été attaqués ou manipulés cette année, tels que bZx Protocol, Sushiswap et autres.
Aimez ce que vous voyez? Abonnez-vous aux mises à jour quotidiennes.
Crédit: Lien source
