Annoncé à 9 millions de dollars, le hack de Prisma Finance s’élève désormais à 11,6 millions de dollars, soit environ 3,257.7 Ethereum ETH.
Prisma Finance subit un hack
We are aware of a possible exploit on Prisma.
Core engineering contributors will pause the protocol and investigate.
We'll share an update and a post-mortem.
— Prisma Finance (@PrismaFi) March 28, 2024
Le protocole de liquid staking Prisma Finance vient de subir un hack qui s’élève dorénavant à environ 11,6 millions de dollars. Initialement informé à hauteur de 9 millions de dollars, la vulnérabilité de Prisma Finance aura permis aux hackers de dérober 2,6 millions de dollars supplémentaires en seulement quelques heures.
“En raison de l’exploit récent, Prisma demande instamment à tous les utilisateurs de révoquer toutes les connexions pour éviter la perte de fonds. Tous les utilisateurs qui ont connecté leurs portefeuilles à la plateforme risquent de subir une perte future de fonds.” écrivent-ils sur X.
🚨ALERT🚨Your contract is Pausable, you should pause it, attack is still ongoing! Another $1M transaction👇#CyversAlert https://t.co/amidLt7Vgc pic.twitter.com/ccR4n2qehB
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) March 28, 2024
La faille est donc encore ouverte et met tous les utilisateurs de Prisma Finance en danger. Le hack proviendrait d’une faille dans un smart contract du protocole.
Ethereum et la DeFi vulnérables ?
Prisma Finance's hack reveals stark #Ethereum vulnerabilities, with a loss of 3,257.7 ETH (~$11.6M). Caution is key; revoke platform connections and research before investing. Stay informed: https://t.co/0EbTbRd4Pr #DeFi #CyberSecurity pic.twitter.com/wRugvZZ88h
— News Sentinel Alpha AI (@SentinelNewsAI) March 28, 2024
Ces 11,6 millions de dollars dérobés représentent approximativement 3,257.7 ETH. D’après la société d’analyse AI Sentinel, l’attaque a permis aux assaillants d’exploiter une faille pour dérober 1,965.39 wrapped staked Ethereum (wstETH). De plus, l’exchange FixedFloat aurait servi de passerelle aux hackers pour transférer ces fonds.
“Les pirates informatiques ciblés et les pirates ont méticuleusement ciblé et converti les actifs volés en ETH, ce qui signifie un accent stratégique sur l’exploitation de l’ETH.” écrivent-ils.
🚨Prisma Finance was under flashloan attacks with the current loss of ~$11.6M. The attack is still ongoing!
The attacker 0xd996073019c74b2fb94ead236e32032405bc027c has stolen over 3,000 $wstETH and transferred them to 0x7E39E3B3ff7ADef2613d5Cc49558EAB74B9a4202.
— Beosin Alert (@BeosinAlert) March 28, 2024
En effet, les LSD-tokens sont désormais des jetons de plus en plus utilisés dans la mesure où ils permettent de faire du liquid staking. En stakant leurs ETH, les utilisateurs reçoivent des LSD-tokens, en l’occurrence ici des wstETH, afin de bénéficier de revenue du staking mtout en ayant un jeton à utiliser pour naviguer dans la DeFi et interagir avec d’autres protocoles.
Cette pratique est de plus en plus commune, mais encore nouvelle. C’est pourquoi cette tendance d’attaques malveillantes sur ce genre de protocole risque de continuer de plus belle.
Pour information, Prisma Finance possède plus de 130 millions de dollars en TVL, selon DefiLlama. Dans la journée d’hier, la TVL était d’approximativement 237 millions de dollars. Les utilisateurs auront donc en grande majorité retiré leurs fonds du protocole, résultant en une chute de plus d’environ 40% de la TVL. Lido reste de loin le plus gros protocole de liquid staking en termes de TVL avec approximativement 35 milliards de dollars misés.