Laver la crypto est un problème car l’exploiteur s’en tire avec 15 millions de dollars
Inverse Finance est la dernière victime d’un exploit DeFi entraînant la perte de plus de 15 millions de dollars, Bouclier révélé ce week-end. La société de sécurité blockchain a publié un tweet indiquant simplement : « Salut, @InverseFinance, vous voudrez peut-être jeter un œil », lié à une transaction sur Etherscan.
Laver la crypto via Tornado Cash
Au cours des dernières heures, l’exploiteur a envoyé des centaines de transactions Ethereum à Tornado Cash. Tornado Cash est un outil standard parmi les pirates et les exploiteurs pour tenter d’obscurcir l’historique de leurs transactions. Ils décrivent leur service comme un outil qui « améliore la confidentialité des transactions en rompant le lien en chaîne entre les adresses source et de destination. Il utilise un contrat intelligent qui accepte les dépôts ETH qu’une adresse différente peut retirer.
Les utilisateurs génèrent une clé aléatoire et déposent des ETH avec la note. L’utilisateur fournit alors la preuve de la clé du billet depuis un autre portefeuille pour retirer l’ETH, brisant ainsi la chaîne de transaction selon laquelle « seul l’utilisateur possédant le billet peut lier le dépôt et le retrait ».
L’exploit impliquait un oracle TWAP qui nécessite de manipuler le prix d’un jeton de gouvernance d’un projet DeFi à faible liquidité. TWAP signifie Time Weighted Average Price et « est construit en lisant le prix cumulé d’une paire de jetons ERC20 au début et à la fin de l’intervalle souhaité. La différence de ce prix cumulé peut ensuite être divisée par la longueur de l’intervalle pour créer un TWAP pour cette période. Une explication détaillée de l’exploit est disponible via un fil créé par l’ambassadeur de la communauté Chainlink, ChaîneLienDieu.
Un autre jour, une autre manipulation d’oracle TWAP
Remarques:
1. L’échantillon de temps TWAP était trop court
2. La liquidité DEX nettement plus mince que la liquidité CEX
3. Opportunités d’arbitrage en chaîne supprimées par l’attaquant
4. CEX-DEX arb ne s’est pas produit
5. Le prix à l’échelle du marché n’est pas aussi affecté que le prix DEX https://t.co/qSgpzAKGxS– ChainLinkGod.eth (@ChainLinkGod) 2 avril 2022
La réponse de la Finance Inverse
Inverse Finance a pris Espaces Twitter ce soir pour parler des événements de l’exploit. Dans ce document, ils expliquent comment toutes les décisions passent par la gouvernance en chaîne du DAO. La question se pose donc de savoir si cela permet une prise de décision rapide lors de crises comme celle-ci. L’équipe est apparue extrêmement calme et recueillie pendant l’espace Twitter, décrivant la manipulation de l’oracle de manière très terre-à-terre. Ils accusent « l’inefficacité de l’arbitrage » car l’exploiteur a utilisé 500 000 dollars de garantie pour voler 15 millions de dollars en quelques minutes.
Le DAO a maintenant activé la règle Guardian sur Anchor pour empêcher de futurs emprunts via le protocole utilisé lors de l’exploit. Cela vise à « atténuer toute future attaque du même type ». Ils expliquent ensuite comment leur « protection de l’ancrage » leur permet de rétablir rapidement les ancrages du marché et les incitations, qu’ils ont utilisés à la suite de l’exploit. L’espace Twitter continue pendant 30 minutes supplémentaires, expliquant d’autres fonctionnalités d’Inverse Finance dans un appel à restaurer la confiance dans le projet.
Les exploits ne sont pas des hacks.
Ce qu’il est important de noter ici, c’est que la personne responsable de cette action n’est pas un hacker, comme certains pourraient le rapporter. De nombreux articles demandent actuellement : « Si DeFi est si génial, pourquoi continue-t-il d’être piraté ? » La réponse est que la plupart des exploits ne sont pas des hacks. Aucun code ou autorisation de sécurité n’a été piraté lors de ce dernier incident. Au lieu de cela, un individu a profité d’un oubli des développeurs.
DeFi implique de nombreuses pièces mobiles, qui ont moins de cinq ans. L’engouement pour de tels projets est suffisamment élevé pour que les investisseurs soient prêts à déposer des fonds dans des projets non éprouvés dans l’espoir de réaliser des gains démesurés.
Le jeton de gouvernance d’Inverse Finance, INV, a généralement un volume moyen quotidien d’environ 900 000 $ avec une capitalisation boursière de 31 millions de dollars. Le volume a augmenté de 5000% aujourd’hui en raison de l’exploit, et la TVL du projet est actuellement rapportée à environ 27 millions de dollars. Ces chiffres semblent faibles pour le monde de la crypto mais, en réalité, ce sont des montants qui changeraient la vie de la plupart des gens dans le monde. Il a fallu 500 000 $ pour exécuter l’exploit, ce qui a entraîné une augmentation de 2 900 % pour « l’attaquant ».
En lavant l’argent via Tornado Cash, l’argument en faveur de DeFi selon lequel toutes les transactions sont traçables devient beaucoup plus faible. Le seul moyen, je le vois, est de suivre l’argent. L’exploiteur a envoyé des ETH en 100, 10 et 1 dénomination. Ainsi, dans ce cas, le suivi nécessiterait de retracer chaque retrait de ces montants de Tornado Cash dans un avenir prévisible. Une tâche qui n’est pas viable. Même si cela pouvait être réalisé, ils n’ont rien fait d’illégal. Contre les conditions d’utilisation ? Le plus probable. D’une éthique douteuse ? Certes, mais, comme nous le savons, la réglementation DeFi est un domaine en évolution, et cet incident est survenu par quelqu’un effectuant des transactions tout à fait légales sur une blockchain publique.
DeFi est un travail en cours. Il met en évidence un besoin croissant de meilleures pratiques et de tests accrus dans le développement web3. Nous espérons que la confiance du public ne sera pas ruinée par les rapports presque quotidiens d’exploits DeFi.
Le poste Washing crypto est un problème car l’exploiteur s’en tire avec 15 millions de dollars est apparu en premier sur CryptoSlate.