Le jeudi 17 décembre, le protocole de financement décentralisé Warp Finance est devenu le dernier projet en date à perdre des fonds dans une attaque de prêt flash.
L’équipe de Warp Finance vient de publier un résumé de ce qui s’est réellement passé. Ils ont également promis de restituer la majorité des fonds perdus.
L’attaque a suivi un processus observé dans un grand nombre d’exploitations liées à la DeFi cette année. Les voleurs ont utilisé des prêts flash pour emprunter des garanties et vider les pools de stablecoin de Warp Finance.
Warp Finance est une nouvelle plateforme DeFi, annoncée début novembre. Elle permet aux utilisateurs de déposer des tokens de fournisseur de liquidité (LP) et de recevoir des prêts de stablecoin en échange.
Selon le rapport post-mortem, l’attaque était une exploitation de type prêt flash “dû à un oracle maniable”. Un prêt flash est un prêt dont la garantie est empruntée et remboursée au cours de la même transaction.
Le 20 décembre 2020 à 02h16 UTC, nous avons réussi à récupérer la garantie du prêt de l’exploitation, sous forme de tokens ETH/DAI-LP. La valeur est d’environ 5,85 millions de dollars, soit environ 75% des 7,76 millions de dollars de fonds perdus.
Rapport post-mortem de Warp Finance
Le rapport a ajouté que la valeur de la garantie était inférieure à celle du prêt. C’est pourquoi une liquidation normale n’a pas pu avoir lieu. Un total de 7,76 millions de dollars a été perdu selon Warp Finance, qui a ajouté qu’ils avaient pu récupérer les trois quarts des fonds des utilisateurs :
La garantie du prêt a depuis été assurée par l’équipe de Warp Finance et nous permettra de restituer environ 75% des fonds déposés par les utilisateurs, grâce au soutien d’Ethereum et de la communauté des white hats.
L’attaquant a effectué plusieurs prêts flash via l’exchange dYdX, et plusieurs échanges de flash via Uniswap. Il a ensuite exécuté un contrat qui a permis de réaliser un échange flash de 180 millions de dollars avec Uniswap, ainsi qu’un prêt flash de 51 millions de dollars à dYdX. L’attaquant a ainsi pu emprunter plus que sa garantie. Cela a entraîné une perte des fonds des prêteurs de stablecoins. Warp Finance s’est appuyé sur les cours des tokens du pool de liquidités vulnérables d’Uniswap, selon le blog Rekt, qui a détaillé les transactions responsables de l’attaque.
75% des fonds à rembourser
Dans environ 24 heures, le protocole distribuera les fonds récupérés. Les montants versés aux utilisateurs concernés seront proportionnels au montant de W-USDC et W-DAI détenu au moment du snapshot. De plus, la plateforme émettra des tokens “Portal IOU”, que les utilisateurs devront échanger sur Uniswap.
Nous avons choisi de retourner les tokens LP plutôt que les stablecoins parce que ce sont ceux que nous avons pu récupérer. Nous ne voulions pas rendre le processus de remboursement plus complexe ni plus risqué
Les représentants de Warp Finance ont déclaré que les tokens récupérés sont des jetons ETH/DAI-LP. Cela signifie que la restitution est un token constitué de dépôts d’Ethereum et de DAI. Les utilisateurs peuvent prendre ces jetons LP pour réclamer les actifs correspondants sur Uniswap.
Dernièrement, plusieurs protocoles DeFi ont été victimes d’attaques de prêts flash. Parmi les victimes connues, on retrouve Origin Protocol, Akropolis et Harvest Finance.
Avis de non-responsabilité
Avis de non-responsabilité : Conformément aux directives de The Trust Project, BeInCrypto s'engage à fournir des informations impartiales et transparentes. Cet article vise à fournir des informations exactes et pertinentes. Toutefois, nous invitons les lecteurs à vérifier les faits de leur propre chef et à consulter un professionnel avant de prendre une décision sur la base de ce contenu.