La dernière intrusion de Harvest Finance DeFi a généré un dénigrement écrasant de la part des experts crypto sur les réseaux sociaux. Cependant, il serait plus constructif de décomposer la situation pour savoir exactement ce qui s’est passé afin de limiter les attaques futures.
Le 26 octobre, le protocole DeFi Farming Harvest Finance a été vidé d’au moins 24 millions de dollars de liquidités par une attaque de prêt flash, comme l’avait rapporté BeInCrypto précédemment.
Le protocole a pris la responsabilité de ce qu’il a appelé une «attaque économique» et une «erreur d’ingénierie» et a fait d’un plan de remédiation pour les utilisateurs concernés sa priorité absolue.
Nous assumons la responsabilité de cette erreur d’ingénierie et veillons à ce que ces incidents soient atténués à l’avenir
Le rapport postmortem de Harvest Finance
Dans un article de blog post-mortem, Harvest Finance décompose les événements qui ont conduit au vol de millions de dollars de fonds cryptos de ses pools de liquidités. Le rapport expliquait que l’attaquant avait exploité des caractéristiques d’arbitrage et de perte impermanente qui influençaient la valeur des actifs individuels dans le pool Y de Curve Finance, où résidaient les fonds du coffre-fort. Environ 18 millions USDT et 50 millions USDC provenaient d’Uniswap et ont été déployés dans le cadre du contrat d’attaque. Le contrat intelligent a converti l’USDT via un swap à l’intérieur du pool Y, créant une valeur plus élevée de l’USDC à l’intérieur du pool car les autres actifs ont subi une perte impermanente.
L’attaquant a également déposé l’USDC dans le coffre-fort USDC de Harvest, recevant un total de 51,4 millions de fUSDC à 0,97 USDC par action, diminuant la valeur des actions d’environ 1%. L’USDC a été reconverti en USDT via le pool Y pour obtenir la valeur initiale inférieure de l’USDC en raison du retour de l’effet de perte non permanent.
Le hackeur DeFi s’est ensuite retiré du coffre-fort USDC de Harvest, échangeant toutes les actions fUSDC contre un prix de l’action légèrement plus élevé alors que la valeur de l’USDC à l’intérieur du pool Y diminuait. L’USDC a été entièrement payé par le tampon du coffre-fort Harvest USDC, n’interagissant pas du tout avec le pool Y, pour dégager un bénéfice d’environ 620k en USDC.
Crédit flash
Ce processus a ensuite été exécuté 30 fois en sept minutes, rapportant à l’attaquant une somme modique d’environ 24 millions de dollars en USDT et USDC. Les cours des deux stablecoins ont chuté, ce qui a rendu la perte globale encore plus grande.La valeur perdue est d’environ 33,8 millions de dollars, ce qui correspond à environ 3,2% de la valeur totale verrouillée dans le protocole au moment précédant l’attaque.
Il s’agissait d’une attaque d’arbitrage très sophistiquée – ce n’était pas un hack et aucun code de contrat intelligent n’a été compromis. Les crédits flash ne sont pas faciles à maîtriser, notion qui a été développée dans un résumé des événements;
Maîtriser les crédits flash, c’est comme passer à un tournoi de joutes du XIIe siècle sur une Harley Davidson à double maniement d’AK47 : personne ne s’y attend, la plèbe est détruite.Harvest Finance s’efforce d’atténuer les futurs usages malveillants de crédit flash, mais le mal est déjà fait. Environ 600 millions de dollars de valeur totale verrouillée ont quitté le protocole au cours des dernières 24 heures selon DeFi Pulse et les tokens FARM ont perdu 58% au cours de la même période.
Les meilleures plateformes de cryptos | Février 2025
Les meilleures plateformes de cryptos | Février 2025
Avis de non-responsabilité
Avis de non-responsabilité : Conformément aux directives de The Trust Project, BeInCrypto s'engage à fournir des informations impartiales et transparentes. Cet article vise à fournir des informations exactes et pertinentes. Toutefois, nous invitons les lecteurs à vérifier les faits de leur propre chef et à consulter un professionnel avant de prendre une décision sur la base de ce contenu.
Publi-reportage
Publi-reportage correspond au titre général d'auteur pour tous les contenus sponsorisés fournis par les partenaires de BeInCrypto. Par conséquent, ces articles, qui sont créés par des tiers à des fins promotionnelles, sont susceptibles de ne pas refléter les points de vue ou les opinions de BeInCrypto. Bien que nous nous efforcions de vérifier la crédibilité des projets présentés, ces articles sont destinés à la publicité et ne doivent pas être considérés comme des conseils financiers. Les...
Publi-reportage correspond au titre général d'auteur pour tous les contenus sponsorisés fournis par les partenaires de BeInCrypto. Par conséquent, ces articles, qui sont créés par des tiers à des fins promotionnelles, sont susceptibles de ne pas refléter les points de vue ou les opinions de BeInCrypto. Bien que nous nous efforcions de vérifier la crédibilité des projets présentés, ces articles sont destinés à la publicité et ne doivent pas être considérés comme des conseils financiers. Les...
Lire la bio complète
Sponsorisé
Sponsorisé