Vol de 10 millions de dollars par les fondateur de Compounder Finance

Please follow and like us:
Pin Share

Un autre projet de financement décentralisé (DeFi) a été mis à mal mardi, avec quelque 10,8 millions de dollars de fonds d’investisseurs volés en raison d’une porte dérobée cachée dans les contrats intelligents du projet.

Compounder Finance – un clone autoproclamé de Harvest and Yearn Finance construit par des programmeurs pseudonymes – a vu ses contrats épuisés de 750000 dollars de bitcoin enveloppé (WBTC), 4,8 millions de dollars d’éther, 5 millions de dollars de dai et un petit assortiment d’autres token, selon un adresse associée à l’attaque.

Et bien que l’attaque ressemble à d’autres tirages ou exploits DeFi, effectués à maintes reprises en 2020, cet acte de vol est différent en raison de l’apparente simulation que les développeurs de Compounder jouaient, selon Robert Leshner, fondateur du protocole de prêt Compound Finance .

Comprendre les attaque par flash loan et qu’elles sont les protocoles visée => Drainer des millions avec 0 apport

Dans une interview téléphonique, Leshner a déclaré que CoinDesk Compounder ressemblait à n’importe quel autre projet DeFi agricole à rendement qui a pris d’assaut l’industrie de la crypto-monnaie l’été dernier. Mais les développeurs s’étaient faufilés dans une fonction d’appel qui leur permettait de retirer tous les fonds du projet – une action qu’un projet de financement décentralisé ne devrait jamais autoriser – chaque fois qu’ils jugeaient le butin suffisamment important.

Sortie par la porte de derrière

Ce seuil a apparemment été atteint mardi, même si les contrats symboliques de Compounder n’ont été créés que le 10 novembre, selon Etherscan.

Leshner a qualifié le rug-pull de «l’un des plus grands» exploits de crypto-monnaie ciblés de mémoire récente; un exploit catégoriquement différent des autres exploits DeFi. Il allègue également que Compounder «s’est fait passer pour Compound Finance»afin d’attirer plus de victimes.

Un groupe d’investisseurs Telegram enquête actuellement sur des mesures juridiques contre les développeurs, bien que peu d’informations soient connues sur les visages derrière Compounder. Un investisseur qui réclamer avoir perdu 1 million de dollars en fonds, offre une prime de 50 000 dollars pour des informations menant à la saisie de fonds volés.

Le token natif de Compounder, CP3R, est en baisse de 98,8% au cours des dernières 24 heures et se négocie maintenant à 0,24 $, selon CoinGecko.

Les audits de contrats intelligents ne suffisent pas

Compounder a été audité par Solidity Finance. Les audits sont généralement considérés comme un acte de bonne foi dans le far west de la DeFi. Solidity Finance a déclaré à CoinDesk qu’il avait trouvé le contrat à durée limitée en question dès la mi-novembre et l’avait signalé aux développeurs du projet. Il offrait également de la documentation.

Malheureusement, Compounder était non seulement au courant de la fonction, mais avait apparemment des plans pour cela.

“L’équipe Compounder a échangé les contrats de stratégie sûrs et audités et les a remplacés par des contrats malveillants ‘Evil Strategy’ qui leur permettaient de voler les fonds des utilisateurs”, a déclaré Solidity Finance à CoinDesk dans un message Telegram, ajoutant:

«Ils l’ont fait grâce à un horaire public, bien que clairement non surveillé, de 24 heures. Cette question de contrôle centralisé par l’équipe du C3PR a été soulevée dans notre rapport d’audit et nos discussions avec leur équipe. L’équipe avait le pouvoir de mettre à jour les pools de stratégies et elle l’a fait ici de manière malveillante pour voler les fonds des utilisateurs. » En d’autres termes, le verrouillage horaire en question a été signalé par l’audit, mais n’a pas été communiqué en dehors de l’équipe de développement.

De nombreux investisseurs DeFi apprennent que les audits ne correspondent pas nécessairement à un protocole sécurisé. Akropolis Finance est un autre exemple récent. Il a été piraté plus tôt le mois dernier pour 2 millions de dollars de dai, même si ses contrats avaient été audités par deux entreprises.

En effet, les audits sont de différentes saveurs. Solidity Finance a déclaré à CoinDesk qu’il recherchait principalement des «attaquants externes». Le cabinet prévoit de fournir plus d’informations sur d’éventuels «risques découlant du contrôle des développeurs» à l’avenir.


Crédit: Lien source

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *