Rejoignez-Nous sur

DEFI – Le hack spectaculaire de Yearn Finance

efd7401f yearn finance hack

News

DEFI – Le hack spectaculaire de Yearn Finance

yearn finance hack
Yearn Finance hacké et perd
11 millions de Dai

Le hack spectaculaire de Yearn Finance : 11,1 millions de DAI siphonnés en un temps record et 24 millions de DAI sauvés grace à l’ingéniosité de toute l’équipe en place.

Pub

Mobile Home

Jeudi dernier Yearn Finance s’est fait siphonné 11 millions de DAI sur son coffre-fort V1 … le hacker a gagné 2,8 millions de Dai, en a cramé 11,1 millions, et l’équipe a pu sauvegarder les 24 millions restants.

Retour sur les minutes du hack

  • dès jeudi après-midi, l’équipe de sécurité voit une étrange transaction être minée 
  • les utilisateurs de Yearn commencent à voir et signaler des pertes dont ils s’étonnent sur Discord et Telegram
  • 16h38, Jeffrey Bongos envoie un message sur Discord : “Quelqu’un sait-il pourquoi le coffre-fort de v1Dai montre que j’ai perdu des milliers de DAI au cours des dernières minutes ? »
  • 17h passées, le front office du coffre-fort v1 de DAI affiche une perte de 1 059 % sur le site web de Yearn
  • 17h14 (minuit 14 heure française), Banteg, un des développeurs de l’équipe de Yearn, poste dans Discord : “L’attaquant s’est échappé avec 2,8m, le coffre-fort DAI  a perdu 11,1m.”

Retour sur les stratagèmes techniques employées

Sur son compte Twitter officiel, ce protocole de Yield Farming explique que tout a commencé à partir de l’une des pools de prêts qu’il utilisait. C’est une combinaison de facteurs qui a permis à l’attaque d’être suffisamment rentable pour être tentée et réalisée avec succès.

L’attaque a visé le coffre-fort DAI v1 de Yearn, qui venait d’effectuer le mois dernier une nouvelle mise à jour de sa stratégie d’investissement sur les pools et de coffre-forts. Une stratégie épaulée grâce à des frais de retrait désactivés, afin d’encourager les migrations vers les chambres fortes v2.

De façon opérationnelle, la nouvelle stratégie du DAI v1 était de déposer tous les fonds dans le “3pool” du protocole Curve, le plus connu des teneurs de marché automatisés (AMM). En effet comme le 3pool de Curve contient des DAI, des USDT et des USDC, cela permet aux utilisateurs d’échanger n’importe quel stablecoin contre un autre stablecoin avec un très faible slippage.

Michael Egorov, PDG de Curve, explique en détails comment se sont passés l’intrusion et le siphonnage : « Pour faire simple, quelqu’un a déposé un paquet [de DAI] sur Curve 3pool afin de manipuler le prix du DAI donné par le pool”. 

En effet, ce trop plein de DAI a créé un déséquilibre désavantageux pour la valeur du DAI lui-meme, c’est à dire sur la valeur de son taux de change, dans les flashloan de ce pool.

Puis de façon classique et automatique, le coffre-fort s’est appuyé sur le nouveaux prix du DAI. Puis il a effectué le dépôt de yDAI avec ce taux de change défavorable. Ce qui permet alors d’inverser le déséquilibre crée de toute pièce à l’étape 1.

Pub

Mobile Home

Ce processus d’investissements stratégiques non rentables sur des flashloan Aave et dYdX étaient effectués sans frais (0%) mais chargées au slippage (0,5 %) ce qui les rendaient gagnants !

C’est pourquoi ces transactions ont été répétées, répétées 11 fois avant d’avoir pu être stoppées au bout de 38 mn et 11 ,1 millions de Dai dérobés, grâce à l’ingéniosité de toute l’équipe.

Capture d’écran 2021 02 08 à 17.34.09
Les étapes du hack analysées par PeckShield.

Conclusion

Malheureusement, ce type de problème n’est pas nouveau, bien au contraire, ce sont des techniques bien connues que l’on pourrait voir arriver chez n’importe quelle autre Dapp ou protocole de la DEFI et du Yield Farming, ou dans n’importe quel cas de mise à jour de smart contracts, car certains contracts antérieurs peuvent persister malheureusement longtemps.

C’est d’autant plus dommage que Yearn Finance -l’un des acteurs majeurs de la DeFi- est connu pour avoir toujours permis aux déposants de récupérer tout leur rendement sur tous leurs tokens et coins déposés initialement. 

Sans surprise, le token de Yearn YFI a chuté, et juste après que l’attaque n’ait été rendue publique UniWhales a annoncé sur son compte Twitter qu’il vendait ses YFI pour des ETH.

Pub

Mobile Home

Mais Yearn Finance n’a pas dit son dernier mot car dès vendredi l’équipe avait analysé ces failles et avait publié les détails de cette intrusion sur son github iearn-finance/yearn-security.

N’hésitez à consulter leur page Divulgation des vulnérabilités





Retrouver l’article original de Claire Desombre ici: Lien Source

Le Meilleur de l'Actualité Blockchain Francophone & Internationale | News, Guides, Avis & Tutoriels pour s'informer et démarrer facilement avec Bitcoin, les Crypto-Monnaies et le Blockchain. En Savoir Plus sur L'Équipe BlockBlog

Commenter cet Article

Commenter cet Article

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus dans News

Les Plus Populaires

Acheter des Bitcoin

Acheter des Alt-Coins

Sécuriser vos Cryptos

Vêtements et Produits Dérivés

Top