Feuilles volées 1 million de dollars dans un contrat prêt à s’autodétruire
Dans un rare gâchis comique parmi les exploits DeFi, un attaquant a tâtonné son braquage à la ligne d’arrivée, laissant derrière lui plus d’un million de dollars en crypto volée.
Juste après 8h00 UTC le jeudi 21 avril, la société de sécurité et d’analyse blockchain BlockSec partagé il avait détecté une attaque contre un protocole de prêt DeFi peu connu appelé Zeed, qui se présente comme un « écosystème financier intégré décentralisé ».
L’attaquant a exploité une vulnérabilité dans la manière dont le protocole distribue les récompenses, leur permettant de frapper des jetons supplémentaires qui ont ensuite été vendus, s’écraser le prix à zéro, mais rapportant un peu plus d’un million de dollars à l’exploiteur.
La société d’analyse de la blockchain PeckShield a noté que la crypto volée avait été transférée vers un « contrat d’attaque », un contrat intelligent qui exécute automatiquement et rapidement l’exploit trouvé.
#PeckShieldAlert Il semble que @zeedcommunity subi un exploit. L’exploiteur a gagné environ 1 million de dollars. Les gains se trouvent actuellement dans le contrat d’attaque. https://t.co/bSHHGM623Q @peckshield https://t.co/jXVj0oGI8B
– PeckShieldAlert (@PeckShieldAlert) 21 avril 2022
Cependant, l’attaquant était apparemment tellement excité par son braquage réussi qu’il a oublié de transférer plus d’un million de dollars de crypto volée hors de son contrat d’attaque avant de le mettre en autodestruction, garantissant ainsi de manière permanente et irréversible que les fonds ne pourront jamais être déplacés.
Intéressant. Le pirate tue le contrat, mais oublie de transférer le profit. https://t.co/HbS2fiztuc https://t.co/uApZyK8Uym pic.twitter.com/FwpZweNLHU
– PeckShield Inc. (@peckshield) 21 avril 2022
Utilisation d’un scanner blockchain pour afficher le contrat d’attaque adresse montre que 1 041 237,57 $ de jetons BSC-USD Binance-Peg sont à jamais bloqués dans le contrat et que l’autodestruction réussie du contrat a été confirmée à 7 h 15 UTC le 21 avril.
Lié: Vérité ou fiction ? Un ancien pirate informatique populaire prétend avoir 7 milliards de dollars en BTC
C’est l’une des tournures d’événements les plus bizarres depuis que le pirate Polygon a fait un « Demandez-moi n’importe quoi » en utilisant des messages intégrés sur les transactions Ethereum (ETH) après avoir volé 612 millions de dollars au protocole en août 2021. La session de questions et réponses a révélé que l’attaquant avait piraté » pour le plaisir » et pensait que « le piratage inter-chaînes est à la mode ».
Ce dernier hack est plus petit en ce qui concerne le montant volé, et d’autres hacks du protocole DeFi ont vu des centaines de millions siphonnés comme avec le récent piratage du pont Ronin où les attaquants se sont enfuis avec plus de 600 millions de dollars.
Parmi les autres exploits DeFi notables, citons les 80 millions de dollars de crypto volés à Qubit Finance en janvier, où les attaquants ont trompé le protocole en leur faisant croire qu’ils avaient déposé des garanties, leur permettant de frapper un actif représentant une crypto pontée.
Le marché DeFi Deus Finance a été exploité en mars lorsque des pirates ont manipulé le flux de prix d’une paire de pièces stables, entraînant l’insolvabilité des fonds des utilisateurs, rapportant aux pirates plus de 3 millions de dollars.