La semaine dernière, la finance décentralisée (DeFi) a vécu sa meilleure semaine en date. Cela dit, cette croissance rapide a attiré de nouveaux individus malintentionnés cherchant à exploiter la moindre fragilité de ces systèmes naissants.

Les marchés DeFi surfent toujours sur la vague d’une semaine de folie, durant laquelle la valeur totale bloquée (TVL) de l’ensemble de l’industrie a atteint un nouveau sommet sans précédent d’1,65 milliard de dollars. Cette hausse est principalement dûe aux initiatives de distribution de tokens par Compound Finance et Balancer, ce afin d’encourager le minage de liquidités.

Balancer, cela dit, a subi une attaque durant le weekend, laquelle a engendré la perte d’un demi-million de dollars en Ethereum.

Les pools de Balancer sont pris pour cible

Dimanche, des rapports sont apparus sur Twitter, affirmant que Balancer Pool a été victime de son dernier vol numérique en date. Le chercheur Steven Zheng fut l’un des premiers à rapporter cet incident, et a publié le tweet suivant :

Quelqu’un aurait apparemment vidé un Balancer Pool constitué de WETH et de STA, et s’est enfui avec l’équivalent de 500 000$ en WETH.

Balancer a confimé l’incident et a donné de plus amples détails à ce sujet. La plateforme a notamment confié qu’un pirate est parvenu à extraire des fonds de deux pools contenant des tokens à frais de transactions, lesquels sont souvent mentionnés comme tokens déflationnistes.

Le regroupeur d’exchange décentralisé 1inch a également révélé d’autres informations sur cet incident. Le pirate aurait ainsi utilisé un smart contract afin d’automatiser plusieurs actions au sein d’une même transaction.

Le pirate a pu réaliser cette attaque d’arbitrage grâce à la structure des Balancer Pools, lesquels sont des acteurs du marché automatisés (AMM) et multidimensionnels. Ces derniers contiennent plusieurs actifs au sein desquels ils maintiennent un équilibre par le biais de proportions spécifiques. Ces proportions s’obtiennent en créant des opportunités d’arbitrage pour échanger un actif contre un autre en générant des prix grâce à une formule spéciale.

L’attaque a commencé avec un crédit flash de 104 Wrapped Ethereum (wETH) sur la plateforme DeFi dYdx. Le Wrapped Ethereum est une version de l’ETH échangeable sur les plateformes décentralisées contre des tokens ERC-20.

Un crédit flash fonctionne lorsqu’on exploite un smart contract afin d’emprunter des actifs crypto sans collatéral, tout en les remboursant dans la même transaction. Entre l’emprunt et le remboursement, le pirate peut exploiter d’autres protocoles DeFi, plateformes de crédits, DEX (plateformes d’échanges décentralisées) et contrats intelligents afin de profiter des marchés à faible liquidité pour générer de juteux profits.

Dans le cas de cette attaque, les fonds ont servi à échanger le wETH contre un token STA (Statera) et inversement, ce qui a vidé le solde STA du pool. Statera, ou STA, fonctionne selon un algorithme déflationniste conçu afin d’assurer que pour chaque transaction, 1% de la quantité transférée se trouve détruite.

Pour chaque échange, STA requiert un frais de transfert et le pool s’attend alors à recevoir un solde sans le frais de transaction. À chaque changement de wETH en STA par le pirate, le Balancer Pool a reçu 1% de moins de STA que prévu, ce qui a fini par vider le pool.

Le pirate s’est ensuite lancé dans un nouvel échange de tokens afin de vider des soldes en Wrapped Bitcoin (wBTC), Synthetix (SNX) et ChainLink (LINK) du même pool, avant de rembourser le crédit flash. La quantité volée de wETH serait équivalente à 500 000 dollars. D’après Coingecko, le cours du STA a chuté de 90% lors de l’attaque.

La DEX a ajouté qu’il s’agit d’une attaque de haute voltige, et savamment planifiée.

La personne responsable de cette attaqué bénéficiait d’une connaissance extrêmement poussée dans les technologies de smart contracts et des protocoles dominants de la DeFi. Il s’agit d’une attaque organisée et soignement planifiée à l’avance.

Une mise en garde datant de mai

Balancer a déclaré qu’ils ajouteraient les tokens à frais de transfert à la liste noire de l’interface utilisateur. Ils offriront également de plus amples informations sur les risques présents dans le fonctionnement des pools, ainsi que des tokens malveillants ou dysfonctionnants, lesquels peuvent vider les actifs d’un pool.

Balancer a été soumis à deux inspections complètes et une troisième est déjà prévue sous peu (avant la fin de la journée). Nous continuerons à inspecter et contrôler le protocole.

D’après Hex Capital [@Hex_Capital], la faille du protocole avait déjà été détectée suite au rapport datant de mai d’un programme de détection de bugs (bug bounty) :

Le pool @StateraProject a été vidé car Balancer Labs a refusé de prendre en compte cette fragilité critique. Je les ai prévenus en MAI. Il s’agit actuellement d’un problème majeur dans le milieu crypto : créer des programmes de bounty bug puis en ignorer les résultats + refuser de payer. Nous devons faire mieux.

Le co-fondateur de Balancer Labs, Mike McDonald [@mikeraymcdonald], a publié des excuses. Il a également ajouté que l’usage du crédit flash a rendu l’attaque possible.

Afin de clarifier la situation, le rapport présenté est au sujet d’un trading de pool et d’une réduction progressive du solde des pools, contrairement au solde interne, dont nous étions conscients, et sur lequel se basait la mise en en garde. L’attaque d’aujourd’hui a fonctionné en raison du crédit flash. C’est ma faute, et je m’excuse de ne pas avoir accordé plus de temps d’inspection.

La DeFi a déjà subi des vols similaires

Il serait inapproprié de parler de cet incident comme d’un “hack”, sachant qu’il s’agit plus d’un usage malveillant du système, lequel présentait de flagrantes vulnérabilités. Il ne s’agit d’ailleurs pas du premier incident de ce type pour l’industrie bourgeonnante de la DeFi, et probablement pas du dernier.

Plus tôt dans le mois, une faille de la plateforme DeFi Bancor a également entraîné une perte de fonds. Environ 460 000$ en tokens ont apparemment été retirés du protocole suite à l’actualisation d’un smart contract. Bancor a affirmé que le smart contract en question a été inspecté, et que les fonds des utilisateurs sont protégés.

De même, en début d’année, les crédits flashs ont servi à réaliser la plus grande infiltration DeFi en date. Le protocole DeFi bZx a subi un vol de près d’un million de dollars dans ce qui a été qualifié “d’attaque de manipulation d’oracle”. Des individus malveillants sont ainsi parvenus à exploiter le système au travers de deux actions distinctes.

Le fondateur de Compound Finance, Robert Leshner [@rleshner], a préconisé la prudence lorsqu’il s’agit d’ajouter des actifs aux protocoles DeFi :

C’est pourquoi il est nécessaire de comprendre la nuance de chaque actif que vous ajoutez à un protocole. C’est cette même négligence qui a détruit lendFme. Soyez plus prudent, s’il vous plait #DeFi.

Lors de la rédaction de cet article, les protocoles DeFi n’avaient encore pas subi d’exode et la valeur totale bloquée reste proche de son sommet historique, d’après DeFi Pulse. Balancer est descendu en quatrième position des plateformes DeFi, mais ses collatéraux s’approchent toujours de leur sommet maximum, soit environ 120 millions de dollars.

Vous souhaitez vous joindre à la communauté BeInCrypto?
Rejoignez gratuitement notre groupe Telegram pour des nouvelles exclusives, des conseils de trading et une foule d’interactions avec d’autres passionnés de cryptomonnaies.

Images gracieusement fournies par Shutterstock, TradingView et Twitter.