1,59 million de dollars : c’est le montant qu’un hacker a siphonné hier sur plusieurs pools de Tender.fi, protocole de DeFi sur Arbitrum. Il s’agissait heureusement d’un hacker éthique (white hat), qui a restitué les fonds à l’équipe, non sans empocher une prime de 62 ETH (l’équivalent de 96 500 dollars). Une affaire au dénouement heureux, ce qui n’est malheureusement pas le cas de tous les cyber-braquages qui touchent la finance décentralisée.
Une attaque à 1,59 million de dollars sur le protocole Tender.fi
C’est hier vers 8h que les sociétés d’analyse on-chain Peckshield et BlockSec signalaient l’activité d’un hacker : celui-ci était en train de retirer pas moins de 1,59 million de dollars sur plusieurs pools d’emprunt de Tender.fi. Le tout en déposant une garantie égale à un seul jeton GMX, soit … 71 dollars. En vingt minutes, le hacker a donc été capable de dépouiller les pools du protocole en plusieurs transactions, impliquant des wBTC, des ETH, des DAI ou encore des USDC.
L’attaquant aurait exploité la mauvaise configuration d’un oracle employé par le protocole. Sur ses traces, celui-ci a laissé un message à l’équipe de Tender.fi. Un message que vous pouvez consulter sur l’explorateur Arbiscan : “it looks like your oracle was misconfigured. contact me to sort this out (il semble que votre oracle ait été mal configuré. Contactez-moi pour arranger la situation)”
Les fonds restitués en échange d’une prime de 62 ETH, mais le jeton TND plonge
Conscients qu’il s’agissait d’un hacker éthique (un “white hat”), et qu’il leur avait évité le pire, les développeurs de Tender.fi ont donc rapidement échangé avec l’attaquant. Vers 19h30, les deux parties sont semble-t-il tombées d’accord sur la restitution des fonds, le pirate acceptant de rembourser tous les fonds retirés des pools en échange d’un bounty de 62 ETH (96 500 dollars au cours actuel).
Un accord que Tender.fi s’est empressé de relayer, confirmant que tous les fonds avaient été récupérés et qu’ils fourniraient un rapport post-mortem sur l’incident.
Entretemps, le jeton TND du protocole a brièvement plongé avant de rebondir suite à l’attaque du white hat. Le jeton, qui tire l’essentiel de ses volumes d’échange d’Uniswap, a plongé jusqu’à 1,99 dollar mais se négocie à 2,09 dollar à l’heure où nous écrivons ces lignes. Le TND a perdu environ 34% de sa valeur, sachant que l’équipe a pour l’heure suspendu tous les dépôts et retraits. “Nous enquêtons sur un nombre inhabituel d’emprunts via le protocole. Entre-temps, nous avons suspendu tous les emprunts. Merci de votre patience”, peut-on lire sur le fil Twitter officiel de Tender.fi.
La manipulation d’oracles, nouveau fléau de la DeFi
Les attaques sur la finance décentralisée sont une nouvelle manne pour les collectifs de hackers malveillants, depuis que les plateformes centralisées sont devenues beaucoup plus solides que durant les années sanglantes 2013-2018. Et parmi les procédés privilégiés par les hackers, figure la manipulation des informations fournies par les oracles.
Pour rappel, les oracles tels que Chainlink (LINK) sont des rouages essentiels de la finance décentralisée. Ils dressent un pont entre les applications sur la blockchain et le monde réel (le cours de l’euro-dollar, le cours de l’or, le cours du bitcoin sur Binance, … et même la météo !). La blockchain n’a conscience que d’elle-même, l’oracle lui fournit en continu des données pour s’ajuster. C’est de cette manière qu’un protocole comme Tender.fi est “informé” en continu du prix du jeton GMX sur une vingtaine de plateformes : Binance, Coinbase, Uniswap, …
La manipulation d’oracle consiste à fausser ces informations pour gonfler les prix des jetons acceptés en garantie, permettant d’emprunter à volonté sur un protocole. La plus importante du genre fut celle qui touchait le protocole Mango Markets de la blockchain Solana en octobre dernier. Le 11 octobre, un trader (dénommé Avram Eisenberg) réussissait à manipuler le prix du MNGO, le token de gouvernance du protocole.
En déposant 5 millions d’USDC sur deux comptes, il fit bondir le cours du MNGO de plus de 900% en quelques minutes. Il répèta plusieurs fois cette opération, de façon à pousser durablement le cours du MNGO au-dessus de 0,50 dollar sur la plateforme FTX, alors qu’il en valait à peine 0,03 ! L’oracle Pyth mit à jour le prix donné à Mango Markets : rapidement, la position acheteuse de Eisenberg affichait plus de 120 millions de profit.
Profitant de l’opportunité, Eisenberg utilisa ensuite ses tokens MNGO pour contracter un emprunt sur Mango Markets. Il retira notamment des USDC, des BTC, des USDT et des SOL. Toute la liquidité disponible sur Mango Markets fut siphonnée.
Sources : Tender.fi, Coin Telegraph
Sur le même sujet :
- Entre hacks de clés privées et scam tokens, les 5 types de piratage qui ont coûté des fortunes aux investisseurs en 2022
- DeFi : 21 millions de dollars perdus dans des hacks en février
- Les enseignements à tirer du rapport sur la criminalité du Web3 par Chainanalysis
David Ville
