Un attaquant vole pour 11 millions de dollars de crypto
Pas un, mais deux protocoles de finance décentralisée (DeFi) – Agave et Hundred Finance – ont été exploités dans un nouveau cas d’attaque de « réentrée ».
Le pirate informatique aurait réussi à siphonner des fonds d’une valeur de 11 millions de dollars dans Wrapped ETH, Wrapped BTC, Chainlink, USDC, Gnosis et Wrapped XDAI sur les deux protocoles DeFi de la chaîne Gnosis en utilisant un exploit de prêt flash.
Les hacks
En examinant les données disponibles sur Tenderly pour les deux violations, il a été constaté que le pirate avait exploité un bogue de réentrance dans les deux protocoles.
Pour les non-initiés, la « réentrance » est une vulnérabilité dans le langage de programmation Solidity qui permet à une entité malveillante de tromper le contrat intelligent d’un protocole en faisant un appel externe à un contrat non approuvé. Une fois que l’attaquant a pris le contrôle du contrat non approuvé, il peut effectuer des appels récursifs à la fonction d’origine pour drainer ses fonds.
Chercheur en blockchain et sécurité, Mudit Gupta, révélé que les jetons pontés officiels sur Gnosis sont le principal coupable et ont déclaré qu’ils sont « non standard et ont un crochet qui appelle le récepteur du jeton à chaque transfert ». Il a ajouté que c’est ce qui permet les attaques de réentrée.
Agave est un fork de la plateforme de prêt DeFi Aave, tandis que le projet de prêt multi-chaînes, Hundred Finance, est un fork de Compound. Gupta a également affirmé que Compound ne suivait pas le modèle recommandé de vérifications, d’effets et d’interactions, même s’il s’y référait.
Les attaques de réentrance deviennent plus stupéfiantes puisque « le code exécute les interactions avant d’appliquer les effets ». D’un autre côté, Aave essaie de suivre le modèle susmentionné de vérifications, d’effets et d’interactions. Cependant, il existe un chemin via les liquidations à l’aide duquel l’attaquant a « rompu le modèle » lors de la récente attaque. Il a ajouté,
«Les équipes d’agave et de cent protocoles se sont trompées en listant un jeton qui peut rentrer. La gouvernance Aave et composée vérifie activement la réentrance avant de répertorier les jetons sur le réseau principal pour éviter des attaques similaires.
La plate-forme de prêt DeFi populaire Cream Finance, qui partage une base de code similaire à celle de Compound, a également été exploitée lors d’une attaque de réentrance de prêt flash de 18,8 millions de dollars en août de l’année dernière.
Les fonds ne sont pas SAFU
Selon un développeur du protocole DeFi DanceFloor, « Shegan », les fonds ne sont pas en sécurité. Cependant, Martin Köppelmann, le fondateur de Gnosis, mentionné il soutiendrait une mesure du DAO. L’équipe derrière Hundred Finance et Agave enquête actuellement sur les exploits et a suspendu les contrats.