L’attaquant de dForce responsable du vol de 25 millions de dollars d’un protocole de DeFi a finalement rendu tous ces fonds. Aucune explication n’a été donnée quant à ce revirement de situation. Cela dit, on soupçonne le hacker d’avoir dû retourner ces fonds car il n’a pas su brouiller les pistes afin d’éviter qu’une enquête le démasque.
La plateforme chinoise de prêt DeFi, dForce, a récupéré la totalité des 25 millions de dollars de fonds qui lui avaient été volés. Ce soudain revirement de situation a probablement eu lieu car l’attaquant aurait mal couvert ses traces, et des métadonnées reliées à ce dernier aurait pu fournir des indices clés sur sa possible identité.
This is insane. The lendf/dForce hacker is in the process of returning all the hacked funds to the admin:
— Haseeb Qureshi (@hosseeb) April 21, 2020
$10M of ETH
$6.6M of USDT
$2.2M of HBTC
$750K of USDC
$381K of HUSD
$137K of DAI
$132K of MKR
$126K of PAX
Grand total of just over $20M.https://t.co/FLkJmv7m2A pic.twitter.com/6oaLgvnZMr
C’est de la folie. Le hacker de lendf/dForce est en train de rendre tous les fonds volés à l’administration : 10 millions de dollars en ETH 6.6 millions de dollars en USDT 2.2 millions de dollars en HBTC 750 000$ en USDC 381 000$ en HUSD 137 000$ en DAI 132 000$ en MKR 126 000$ en PAX Pour un total d’un peu plus de 20 millions de dollars.Le hacker n’a pas utilisé de réseau décentralisé, se contentant d’un VPN. En conséquent, son adresse IP était visible, et on l’a retrouvée sur les trois échanges. On sait également qu’il ou elle a utilisé un Mac, ainsi que la résolution de l’écran et les configurations de langues de l’appareil. Avec une enquête déjà en cours, il est tout à fait possible que l’attaquant ait rendu les fonds volés contre la clémence des enquêteurs. Haseeb Qureshi, associé directeur de Dragonfly Capital, a qualifié cet événement du “plus spectaculaire bug de récompense” qu’il ait jamais vu.
This is the most dramatic bug bounty award I've ever seen.
— Haseeb Qureshi (@hosseeb) April 21, 2020
C’est le plus spectaculaire bug de récompense que j’ai jamais vu.Cette attaque fut un coup dur pour dForce. Quelques jours plus tôt, la firme avait en effet reçu 1,5 millions de dollars en financement de démarrage de la part de Multicoin Capital. BeInCrypto a contacté dForce, mais n’a pas encore reçu de réponse.
Un vol d’actifs équivalent à 25 millions de dollars
L’attaque a eu lieu dans la soirée de samedi dernier et a durée jusqu’à dimanche. Apparemment, le hacker aurait exploité un point vulnérable du protocole ERC-777, une méthode similaire à celle de l’attaque DAO (Decentralized Autonomous Organization) contre Ethereum en 2016. Le hacker a ainsi volé 99% des fonds de dForce, parmi lesquels des BTC, ETH, USDT, DAI, MKR et PAX. L’attaquant s’est concentré sur les protocoles des plateformes UniSwap et Lendf.me. Cette dernière a d’ailleurs été désactivée, forçant le PDG de dForce, Mindao Yang à demander à ses utilisateurs de ne pas y garder d’actifs. Après le vol, l’attaquant a déplacé des fonds sur les plateformes de DeFi Compound et Aave. Sur Twitter, le PDG de Compound, Robert Leshner, a critiqué Lendf.me pour avoir redéployé son code et espère qu’ils tireront une leçon de ce piratage.If a project doesn't have the expertise to develop it's own smart contracts, and instead steals and redeploys somebody else's copyrighted code, it's a sign that they don't have the capacity or intention to consider security.
— 🤖 Leshner (@rleshner) April 19, 2020
Hope developers & users learn from the @LendfMe hack.
Si un projet n’a pas l’expertise pour développer ses propres contrats intelligents et préfère voler et redéployer le code déposé de quelqu’un d’autre, c’est le signe qu’il n’a pas l’aptitude ou l’intention de se concentrer sur sa sécurité. J’espère que les développeurs et utilisateurs tireront une leçon du piratage de LendfMe.
La DeFi est mise à l’épreuve
L’espace de la finance décentralisée (DeFi) a présenté une impressionnante croissance l’année dernière. À son pic, le secteur a détenu jusqu’à plus d’un milliard de dollars en fonds bloqués. Pourtant, les dernières nouvelles à son sujet furent principalement négatives, avec plusieurs rapports de vols. En février, le protocole bZx s’est fait voler environ 1 million de dollars, suite à une “attaque de manipulation d’oracle”. L’équipe de bZx a décidé de suspendre le réseau, récoltant des critiques pour son système centralisé. Ces attaques et leurs réponses ont partiellement tempéré l’optimisme vigoureux qui accompagnait la croissance de la DeFi. Ce marché a perdu près de la moitié de sa valeur depuis le début de l’année et se trouve actuellement juste au-dessus de son point minimum de 2020, avec 736 millions de dollars en Ethers bloqués. La communauté a elle-même demandé à une amélioration des mesures de sécurité. Le responsable de Compound affirme que dForce a volé leur code ; ainsi, de nombreux traders pensent que la division d’un protocole à source ouverte met en exergue le besoin de codes sécurisés. Images gracieusement fournies par Shutterstock, Trading View et Twitter.
Les meilleures plateformes de cryptos | Avril 2024
Trusted
Avis de non-responsabilité
Avis de non-responsabilité : Conformément aux directives de The Trust Project, BeInCrypto s'engage à fournir des informations impartiales et transparentes. Cet article vise à fournir des informations exactes et pertinentes. Toutefois, nous invitons les lecteurs à vérifier les faits de leur propre chef et à consulter un professionnel avant de prendre une décision sur la base de ce contenu.
Rahul N.
Rahul Nambiampurath is an India-based Digital Marketer who got attracted to Bitcoin and the blockchain in 2014. Ever since, he's been an active member of the community. He has a Masters degree in Finance.
Email me!
Rahul Nambiampurath is an India-based Digital Marketer who got attracted to Bitcoin and the blockchain in 2014. Ever since, he's been an active member of the community. He has a Masters degree in Finance.
Email me!
READ FULL BIO
Sponsorisé
Sponsorisé