La communauté crypto est en phase de devenir la victime favorite des hackers. Chaque semaine, les comptes de surveillance et d’observation sur Twitter signalent la mise en œuvre d’attaques provenant de pirates informatiques.
Si, en raison de la nature ouverte de la blockchain, les fonds volés sont généralement retrouvés, il est très difficile de les récupérer sans négocier avec les individus auteurs d’un tel méfait. Hundred Finance est le dernier protocole crypto à faire les frais d’une attaque pirate.
Une perte estimée à plus de 7 millions de dollars
Hundred Finance est un protocole de prêt multichaîne relativement populaire dans l’industrie crypto. Dans un tweet publié sur son compte officiel Twitter, la plateforme a signalé une importante faille de sécurité au niveau de sa couche 2 de la blockchain Ethereum Optimism.
Selon les données relevées suite à l’attaque perpétrée, le protocole aurait perdu environ 7,4 millions de dollars. La nouvelle de l’exploitation de la faille de sécurité faisait l’objet d’une annonce le 15 avril dernier. Hundred Finance en avait également profité pour déclarer qu’elle avait contacté l’auteur de l’attaque.
Ainsi, elle précisait être en collaboration avec diverses équipes de sécurité pour remédier à l’incident. S’il est vrai que tout au long de son rapport, le protocole n’a pas révélé comment l’attaque a été exécutée, la société de sécurité blockchain CertiK a formulé une hypothèse solide. Dans une série de tweets publiée sur son compte Twitter, CertiK a déclaré qu’il s’agissait d’une attaque par prêt flash.
#CertiKSkynetAlert 🚨@HundredFinance’s attacker manipulated the exchange rate between ERC-20 tokens and htokens which allowed them to withdraw more tokens than they had originally deposited. The estimated losses of this attack is around $7.4 million.
Stay vigilant! https://t.co/1hxAnFoNjj
— CertiK Alert (@CertiKAlert) April 15, 2023
Les attaques par prêt flash impliquent généralement qu’un hacker emprunte une grande quantité de fonds par le biais d’un type de prêt sans porter aucune garantie auprès d’un protocole de prêt. Le pirate se sert ensuite de ces fonds pour manipuler le prix d’un actif sur une plateforme de finance décentralisée (DeFi).
Dans le cas de Hundred Finance, le hacker a simplement manipulé le taux de change entre les tokens de type ERC-20 et les hTOKENS. Cela lui a ainsi permis de retirer plus de tokens que ceux qu’il avait déposés à l’origine.
L’investissement en crypto-monnaies est proposé par eToro (Europe) Ltd en tant que PSAN, enregistré auprès de l’AMF. Les crypto-monnaies sont très volatiles. Pas de protection des consommateurs.
Une série d’attaques réussies inquiétantes
Il ne s’agit pas de la première fois que le protocole Hundred Finance se fait attaquer par un hacker. En effet, cette nouvelle attaque survient près de 12 mois après que le protocole de prêt a subi un autre exploit sur la chaîne Gnosis.
Aussi, au cours de cette opération, le pirate avait drainé l’ensemble des liquidités présentes sur le protocole par le biais d’une attaque de réentrance. Il avait pu s’emparer de plus de 6 millions de dollars et était même parvenu à acquérir dans le même temps les fonds du protocole Agave.
48h passed since we sent an on-chain message to the hacker and tried to start negotiations with him.
Today we are launching a $500k reward in the hope that this provides additional incentive for info that leads to the Hundred attacker’s arrest and the return of all funds.
— Hundred Finance (@HundredFinance) April 17, 2023
Pour l’heure avec ce nouveau hack, Une tentative de récompense de 500 000 $ dans le but de recevoir des informations afin d’arrêter le pirate vient de paraître sur le compte Twitter de Hundred Finance.
Selon la société de sécurité Certik, des prêts importants ont eu lieu sur Hundred Finance et à travers des plateformes DeFi dans le cadre du taux de change manipulé. L’on constate également une montée en nombre d’attaques pirates réalisées à travers les plateformes d’échange DeFi.
Ainsi, depuis l’année dernière, plusieurs hackers ont utilisé des attaques par prêt éclair pour cibler les protocoles DeFi. Parmi les cas les plus récents, on retrouve les attaques perpétrées contre Euler Finance (avec des pertes estimées à 196 millions de dollars) et celles contre Mango Markets (avec des pertes d’environ 46 millions de dollars).
Alors que le pirate du protocole Euler a restitué la plupart des fonds dérobés, le hacker de Mango a été arrêté par les autorités américaines.
Source : Cointelegraph
Sur le même sujet :
- Terraport hacké pour 2 millions $ quelques jours après son lancement
- Un hack de 11.6 millions de dollars en lien avec Yearn Finance
- Un hack de 13 millions de dollars sur la bourse de cryptomonnaies GDAC
Share
Emmanuel Mounier
Rédacteur
