La finance décentralisée (DeFi) n’en a pas encore fini avec les hackers. C’est ce que nous révèle la célèbre plateforme DefiLlama qui enregistre pour 21 millions de dollars de pertes sur ce mois de février. Un chiffre qui reste élevé et qui s’explique par diverses attaques, notamment, concernant certains protocoles.
La plus grosse attaque de ce mois concerne la plateforme Platypus Finance qui a perdu pour 9.1 millions de dollars. Cette perte est due à une attaque basée sur les “flash loan”, qui sont des opérations de prêts instantanées. DefiLlama a mis en lumière 7 attaques dont la plupart sont des exploitations de vulnérabilité sur les smart contracts. Nous revenons sur toutes ces affaires de ce mois de février 2023 avec vous !
La plus grosse perte : Platypus Finance perd 9.1 millions de dollars
Cette affaire s’est déroulée le 16 février avec 8.5 millions de dollars qui ont été drainés du protocole. Comme dit ci-dessus, les hackers ont profité d’une faille dans le protocole des “flash loan” pour s’emparer de la somme.
Une note de Platypus suite à l’attaque, a révélé que l’opération avait été rendue possible par une erreur dans l’ordre dont le code a été écrit. Pour compenser l’attaque, l’équipe de la plateforme fait au mieux et promet de restituer environ 78 % des principaux fonds du pool en réinjectant des stablecoins gelés sur leur plateforme.
🚨 Updated compensation page 🚨
We have updated our compensation page today! If you have deposited or withdrawn LP tokens from our yield aggregators before the pool pause, your compensation amount will be updated accordingly.
More 👇🧵 https://t.co/GfLIn5jmtF— Platypus 🔺 (🦆+🦦+🦫) (@Platypusdefi) March 3, 2023
Pour ne rien arranger, 667 000 autres dollars ont été perdus suite à d’autres incidents. La police française a arrêté deux individus et a saisi pour 222 000 dollars d’actifs cryptographiques ce 25 février.
L’investissement en crypto-monnaies est proposé par eToro (Europe) Ltd en tant que PSAN, enregistré auprès de l’AMF. Les crypto-monnaies sont très volatiles. Pas de protection des consommateurs.
Les mentions spéciales : dForce Network, Orion Protocol et Dexible
Il n’y a pas que Platypus Finance qui a subit le courroux des hackers, d’autres plateformes DeFi viennent gonfler le compteur de ce mois de février.
dForce Network : 3.65 millions de dollars de perte faite par un white hat
Tout est bien qui finit bien pour l’entreprise qui a finalement eu affaire à un white hat. Ces derniers ont même accepté d’offrir une prime à l’auteur de l’attaque et de laisser tomber toute poursuite judiciaire.
La faille trouvée par le hacker résultait, d’une attaque de réentrée. Pour ceux qui ne sont pas familiers du terme, le mot réentrée fait référence à une caractéristique des smart contracts sur la blockchain.
Pour faire simple, les hackers exécutent plusieurs demandent de retraits envers les smart contracts en simultané pour tromper le protocole et ainsi réaliser des retraits supérieurs au montant initial. Il s’agit d’une faille que beaucoup de plateformes possèdent.
2/5 Shortly after the incident, we entered into conversations with the exploiter, who came forward as a whitehat. We have agreed to offer a bounty and will drop all on-going investigation and law enforcement actions.
— dForce (@dForcenet) February 13, 2023
Orion Protocol : pas de white hat sur ce coup-ci et $3M dérobés
Orion Protocol a eu moins de chance que son compère précédent et a subit la même attaque sur son protocole de smart contracts avec des retraits multiples et simultanés. Cela lui a valu une perte nette de 3 millions de dollars.
Le CEO, Alexey Koloskov s’est exprimé sur le sujet en déclarant :
Nous avons des raisons de croire que le problème n’était pas le résultat de lacunes dans notre code de protocole principal, mais pourrait plutôt avoir été causé par une vulnérabilité dans le mélange de bibliothèques tierces dans l’un des contrats intelligents utilisé par nos courtiers expérimentaux et privés.
Une faute mineure donc, selon Alexey, qui aura tout de même coûté plusieurs millions.
Dexible : 2 millions de dollars perdus suite à un problème sur une fonction (selfSwap) de l’application
Cette perte est due ncore et toujours à un problème de smart contracts qui venait nouvellement d’apparaître sur l’agrégateur d’échange multi-chaîne, Dexible.
D’après les déclarations faites par l’entreprise, le pirate a exploité une vulnérabilité qui lui a permis de voler les fonds de n’importe quel portefeuille qui avait une approbation de dépenses non dépensées sur le contrat intelligent.
Plus clairement, ces derniers avaient autorisé l’application selfSwap à déplacer leurs jetons auparavant. Le hacker a utilisé cette autorisation pour voler 2 millions de dollars. Le hacker a ensuite utilisé Tornado Cash pour faire disparaître l’argent.
D’autres plateformes, comme BonqDAO, Hope Finance ou encore Launch Zone, se sont retrouvées dans l’embarras ce mois-ci. Ces dernières viennent ajouter une perte d’environ 4.2 millions de dollars aux autres plateformes citées.
Vous souhaitez suivre les évolutions du marché crypto ? Retrouvez notre page spéciale qui retranscrit le cours des cryptos en temps réel.
Source : dForce Twitter, Platypus Finance Twitter, Alexey Koloskov, Orion Protocol Twitter, Dexible Twitter
Sur le même sujet :
- 7 actualités qui ont marqué le monde des cryptos cette semaine
- Privacy pools : la succession de Tornado Cash pensée par ses développeurs
- Qu’est-ce qui fait la valeur de Bitcoin ?
Alexandre Franc
