Une autre exploitation de faille au sein d’un protocole de finance décentralisée a permis à l’attaquant de dérober plusieurs millions de dollars. Cette fois, le protocole en question est Yearn Finance.
Un développeur de Yearn Finance a rapporté que son coffre-fort v1 yDAI a été infiltré par un acteur malveillant aux premières heures du 5 février. Il a ajouté que le pirate s’est enfui avec 2,8 millions de dollars, et que le coffre-fort a perdu 11 millions de dollars.
Les dépôts dans les stratégies ont été désactivés pour les coffres de la version 1 DAI, TUSD, USDC, USDT pendant que la plateforme DeFi enquête. Il semble que les fournisseurs de liquidités de Curve Finance aient également bénéficié de l’attaque, à hauteur d’environ 3 millions de dollars.
Une nouvelle attaque de prêt flash
L’analyste de recherche Igor Igamberdiev a analysé les faits, déclarant que l’agresseur avait effectué onze transactions. Il a commencé par un prêt flash de 116 000 ETH provenant de l’exchange dYdX. Un autre prêt flash de 99.000 ETH a été accordé par Aave v2, qui a ensuite été utilisé comme garantie pour emprunter 134 millions USDC et 129 millions Dai sur la plateforme Compound Finance.
Le pirate a ajouté l’USDC et 36 millions de DAI au pool 3crv Curve afin d’en retirer 165 millions d’USDT. Cette opération a été répétée cinq fois.
Les 93 millions de Dai restants ont été déposés dans le coffre-fort de Yearn et les 165 millions de USDT sont allés dans le pool 3crv. Les fonds ont ensuite été retirés des deux pools après avoir remporté des tokens 3crv, le dernier retrait ayant été de 39 millions Dai et 134 millions USDC au lieu de USDT. La dette de Compound et le prêt flash ont ensuite été remboursés.
“L’attaquant disposait chaque fois de plus de tokens 3crv, qu’il pouvait ensuite échanger contre des stablecoins.”
Stani Kulechov, fondateur d’Aave, a déclaré dans un tweet qu’il s’agissait d’une attaque complexe impliquant plus de 160 transactions sur plusieurs plateformes DeFi, pour un coût de plus de 5 000 dollars en frais de gaz. L’investisseur Julien Thevenard a déclaré que les actionnaires de Curve Finance ont reçu plus de 3 millions de dollars de cet exploitation de faille.
L’année 2020 a été marquée par de multiples exploitations de prêts flash similaires à cette dernière, la tendance s’étant poursuivie en 2021. Il y a peu, Yearn Finance a également relancé son populaire coffre-fort YETH, bien que les producteurs de rendement puissent se montrer assez réservés suite à cet incident.
Le cours du YFI chute de 12%
Le token YFI de Yearn a souffert suite à cette annonce et a perdu près de 12% de sa valeur en l’espace de quelques heures. Le YFI avait atteint un sommet local de 34 950 dollars selon CoinGecko, mais il est immédiatement retombé sous la barre des 30 000 dollars lorsque des rapports sur l’attaque ont été publiés.
Au moment de la rédaction de cet article, le YFI se situait à 32 400$, soit une hausse de 42% depuis le début de l’année 2021. Les tokens DAO de Curve ont présenté un mouvement inverse, avec une hausse de 13% au cours des dernières 24 heures. Le CRV a atteint son cours le plus élevé depuis plus de cinq mois, à 3,27$.
Avis de non-responsabilité
Avis de non-responsabilité : Conformément aux directives de The Trust Project, BeInCrypto s'engage à fournir des informations impartiales et transparentes. Cet article vise à fournir des informations exactes et pertinentes. Toutefois, nous invitons les lecteurs à vérifier les faits de leur propre chef et à consulter un professionnel avant de prendre une décision sur la base de ce contenu.