En profitant d’une faille d’un ancien contrat de Yearn Finance, un hacker a réussi à frapper un billiard (10 puissance 15) de tokens yUSDT avec 10 000 dollars. Des tokens qu’il a ensuite échangé contre des stablecoins comme le DAI ou l’USDC. Montant du butin ? Plus de 11 millions de dollars.
Nouveau hack à plus de 11 millions de dollars
La société de sécurité blockchain PeckShield a récemment détecté un piratage sur le protocole Yearn.Finance. Un piratage qui a permis aux hackers de s’emparer de près de 11 millions de dollars. Concrètement, le hacker a su profiter d’une faille dans un ancien contrat pour frapper plus d’un billiard (1 000 000 000 000 000) de yUSDT avec seulement 10 000 dollars. Des jetons qu’il aurait ensuite échangé contre près de 11,6 millions de dollars de stablecoins.
Le pirate a ainsi échangé les yUSDT contre 1,79 million de BUSD, 1,5 million de TrueUSD, 1,2 million d’USDT, 2,58 millions d’USDC, plus de 3 millions de DAI ou encore 61 000 Pax Dollar (USDP). Toujours selon PeckShield, le pirate aurait déjà transféré 1 000 ETH dans le mélangeur crypto Tornado Cash. Au cours actuel de l’Ethereum, cela représente près de 2 millions de dollars. Le schéma suivant, fourni par PeckShield illustre comment le pirate a opéré :
Selon toute vraisemblance, le hack serait dû à une mauvaise configuration du yUSDT. C’est en tout cas la version développée par certains twittos comme Samczsun. Une hypothèse également validée par PeckShield, sur les réseaux sociaux :
Nous devons préciser que la cause première de l’attaque est due à une mauvaise configuration de yUSDT, et qu’elle n’est pas liée à Aave.
Après avoir effectué des vérifications, la plateforme de lending et de staking Yearn Finance a tenu à préciser que le problème se limitait à iearn, un contrat désormais obsolète. Le protocole DeFi a également tenu à rassurer la communauté en affirmant que les contrats et protocoles actuels n’avaient pas été compromis par le hack. De son côté, Aave a assuré que le piratage n’avait pas impacté les v1, v2 ou v3 de sa solution, malgré le fait que Aave V1 avait été utilisé durant l’attaque.
L’investissement en crypto-monnaies est proposé par eToro (Europe) Ltd en tant que PSAN, enregistré auprès de l’AMF. Les crypto-monnaies sont très volatiles. Pas de protection des consommateurs.
DeFi : Les hacks en baisse au T1 2023
Si les hacks continuent de polluer l’espace DeFi, force est de constater qu’ils diminuent. C’est en tout cas les conclusions du rapport trimestriel de la société de sécurité blockchain CertiK. Selon le rapport, les hacks du premier trimestre 2023 ont représenté 320 millions de dollars. C’est près de 4 fois moins que lors du premier trimestre 2022 : 1,3 milliard de dollars. Au cours du quatrième et dernier trimestre de l’année 2022, les hacks cryptos représentaient 950 millions de dollars.
Source : The Block
Sur le même sujet :
- Hack crypto : le groupe nord-coréen Lazarus, champion du monde !
- Les arnaques crypto en hausse sur l’année 2022
- Arnaques crypto : 5 manières de détecter un scam