La communauté de la DeFi (finance décentralisée) remet une fois de plus en question l’approche “test in prod” après qu’un exploit ait entraîné un déficit de 37,5 millions de dollars chez Alpha Finance Labs et CREAM Finance. Cette semaine, BeInCrypto se penche sur cinq projets DeFi qui se sont remis sur pieds avec succès après avoir été exploités.
1. Compound (COMP)
COMP est une plateforme de prêt de financement décentralisé (DeFi) qui permet aux utilisateurs d’emprunter et de staker pour prêter sans avoir recours à des tiers.
Elle dispose actuellement de plus de 5,25 milliards de dollars en valeur totale bloquée (TVL). Cela en fait le troisième plus grand projet DeFi, derrière Aave (AAVE) et Maker (MKR).
En novembre de l’année dernière, une erreur ou une attaque malveillante a exploité un oracle de la base de données Coinbase que la plateforme a utilisé pour fixer la valeur du stablecoin dai (DAI). L’erreur, ou attaque, a fait monter le prix du stablecoin à 1,30$.
Comme les prêts composés nécessitent une sur-collatéralisation, la hausse soudaine du prix du DAI a laissé les emprunteurs sans garantie, beaucoup de leurs fonds ayant dont ont été liquidés.
2. Yearn Finance (YFI)
Le 5 février 2021, le coffre-fort yDAI de Yearn Finance a fait l’objet d’une exploitation qui a entraîné la perte de 11 millions de dollars. Celle-ci consistait en une série de prêts flash contractés auprès des pools dYdX et Aave. Le hacker responsable a ensuite utilisé ces prêts comme garantie pour un autre prêt sur la plateforme de Compound.
Essentiellement, le hacker a tenté de profiter de la différence de prix dans les coffres de Yearn pour accumuler des jetons Curve DAO Token (CRV) à vendre pour des stablecoins.
Le hacker n’aurait pas empoché la totalité des 11 millions de dollars, car les frais de l’attaque s’élevaient à 8,5 millions de dollars.
3. SushiSwap (SUSHI)
SushiSwap est un teneur de marché automatisé (AMM) qui a bifurqué l’année dernière de son rival, le protocole DeFi Uniswap, en pleine querelle sur la centralisation.
En janvier de cette année, un utilisateur opportuniste de SUSHI a découvert une faille qui lui a permis de voler 81 ETH (d’une valeur d’environ 103 842 dollars, à l’époque).
L’exploitation consistait en une transaction utilisant le jeton DICG de Badger DAO. La transaction visait à convertir un petit montant des frais dans un pool DICG/WBTC par le biais d’un pool DICG/ETH.
Ce dernier avait une liquidité extrêmement faible (et donc un glissement élevé), ce qui a entraîné des frais relativement élevés. Le hacker opportuniste a essentiellement tenté de réclamer ces frais, en utilisant un bogue qui redirigeait les frais des stakers.
Il faut toutefois noter que les montants en jeu étaient relativement faibles, un utilisateur de Twitter ayant déclaré que l’exploitation avait eu un impact limité.
4. Cover Protocol (COVER)
L’exploitation de Cover Protocol est probablement le plus spectaculaire de cette liste. Cette fois, un pirate informatique de Grap Finance (bien que cela ne soit pas connu à l’époque) a utilisé une exploitation pour frapper 40 quintillions de jetons COVER.
Ces jetons étaient sous le contrôle direct du hacker qui les a rapidement retirés vers Binance. L’augmentation de l’offre, ainsi que le “dumping” du hacker sur les marchés de COVER/ETH, ont fait chuter le prix de COVER de plus de 50% en quelques minutes.
De plus, alors que le marché se concentrait sur ce qui se passait, la valeur du jeton est passée de 720 dollars à moins de 100 dollars. L’attaque a incité Binance à suspendre le trading, ainsi que l’équipe de Cover à suspendre le jeton dans son ensemble.
Heureusement, le hacker a restitué les fonds et Binance a même remboursé les traders qui avaient “acheté la baisse” sur son propre fonds SaFu.
5. Alpha Finance Labs (ALPHA)
Enfin, l’exploitation d’un projet DeFi le plus récent concerne la nouvelle version Homora v2 d’Alpha Finance Lab et l’Iron Bank de CREAM Finance.
Cet exploitation a permis à un pirate informatique d’extraire 37,5 millions de dollars. Selon une analyse post mortem de l’événement, celui-ci impliquait que des prêts de Homora v2 soient déposés dans l’Iron Bank de CREAM Finance.
Les utilisateurs d’ALPHA qui connaissent bien cette exploitation ont souligné que seule une personne ayant des connaissances au-delà de ce qui était accessible au public pouvait être responsable de l’attaque.
L’autopsie l’a d’ailleurs confirmé. Elle a indiqué que le fonds commun de financement utilisé dans l’exploitation se trouvait au niveau du contrat sur HomoraBankV2 en vue d’un lancement prochain.
Avis de non-responsabilité
Avis de non-responsabilité : Conformément aux directives de The Trust Project, BeInCrypto s'engage à fournir des informations impartiales et transparentes. Cet article vise à fournir des informations exactes et pertinentes. Toutefois, nous invitons les lecteurs à vérifier les faits de leur propre chef et à consulter un professionnel avant de prendre une décision sur la base de ce contenu.