Les protocoles Agave et Hundred Finance DeFi exploités pour 11 millions de dollars
Un hacker s’est enfui avec environ 11 millions de dollars dans Wrapped ETH, Wrapped BTC, Chainlink, USDC, Gnosis et Wrapped XDAI après avoir utilisé une attaque de « réentrée » sur les applications de protocole de prêt DeFi Agave et Hundred Finance.
L’attaque survient dans les 24 heures suivant l’annonce de l’exploit Deus Finance, où les pirates ont volé plus de 3 millions de dollars en Dai et Ethereum de la plate-forme de contrat de prêt.
Le jeton d’Agave, AGVE, a chuté de 20 % après l’attaque, selon les données de CoinGecko. Le jeton HND de Hundred Finances a chuté de 3,5% après avoir annoncé l’exploit, mais il s’est depuis redressé pour atteindre un sommet de 24 heures.
« Agave enquête actuellement sur un exploit sur le protocole de financement d’agave », Agave tweeté le mardi 15 à 13h30 UTC, « Nous vous tiendrons au courant dès que nous en saurons plus. » Il a noté que les contrats ont été suspendus jusqu’à ce que la situation soit résolue.
L’équipe Hundred Finance a également tweeté il a été exploité sur la chaîne Gnosis et a suspendu ses marchés pendant qu’il poursuivait ses enquêtes.
Selon l’analyse en chaîne, le adresse associé à l’attaquant a envoyé plus de 2 100 ETH, d’une valeur de plus de 5,5 millions de dollars, à un mélangeur crypto dans le but de blanchir les jetons volés.
En rapport:Exploit de Deus Finance : les pirates s’en tirent avec 3 millions de dollars de DAI et d’Ether
Développeur Solidity et créateur d’une application de protocole de liquidité NFT, Shegen (@shegenerates) a tweeté qu’elle avait perdu 225 000 $ dans l’exploit, et que ses enquêtes ont révélé que l’attaque fonctionnait en exploitant une fonction de contrat wETH sur Gnosis Chain qui permettait à l’attaquant de continuer à emprunter de la crypto avant que les applications ne puissent calculer la dette, ce qui empêcherait de nouveaux emprunts.
L’attaquant a exécuté cet exploit, empruntant continuellement contre la même garantie qu’il publiait jusqu’à ce que les fonds soient épuisés des protocoles.
Shegen a déclaré à Cointelegraph que si le contrat intelligent sur Agave est essentiellement le même que Aave, qui sécurise 18,4 milliards de dollars, « tous les chercheurs en sécurité l’ont audité », a-t-elle déclaré, « il est donc raisonnable de supposer que le contrat est sûr ».
« Je pense que ce piratage se démarque plus que certains plus gros », a déclaré Shegen, notant que même s’il s’agit d’un piratage plus petit par rapport à d’autres qui ont volé des millions d’autres, la similitude avec Aave signifiait « il semble sûr de haut niveau, mais ne l’était pas, et cette rupture de confiance fait mal.
« C’est comme si vous ne pouviez même pas faire confiance à un code « sûr ». »
Mudit Gupta, chercheur en sécurité de la blockchain dit la différence entre Aave et Agave est que « Aave vérifie activement la réentrée avant de lister les jetons sur le réseau principal pour éviter des attaques similaires ».
Shegen a déclaré qu’elle ne blâmait pas les développeurs d’Agave pour ne pas avoir empêché l’attaque.
« Agave a été utilisé de manière dangereuse », a-t-elle déclaré, « peut-être que le développeur n’aurait pas dû autoriser l’utilisation de jetons contenant des rappels sur la plate-forme, ou ajouter plus de gardes de réentrée. »
« Curve, par exemple, n’a pas été piraté aujourd’hui, car il a des gardes de réentrée supplémentaires, mais je ne blâme pas vraiment Luigy et l’équipe d’Agave, car il est si peu probable que cela se soit produit et ait échappé à de nombreuses personnes. »
Shegen n’a pas non plus blâmé Gnosis pour avoir créé des jetons avec une fonction de rappel que le pirate a exploitée, affirmant que la fonctionnalité empêche les utilisateurs de perdre accidentellement leur crypto.
« C’est en fait une fonctionnalité intéressante pour les jetons pontés, c’est juste une circonstance vraiment malheureuse et malchanceuse à mon avis. »