Le projet DeFi Harvest Finance perd 24 millions $ au profit de hackers

À présent, tout le monde sait que le secteur DeFi a été au centre de l'attention de l'industrie de la cryptographie en 2020. Le secteur s'est vu attribué une croissance de l'ordre du milliard de dollars en quelques mois seulement. Cependant, tout comme il a commencé à attirer de nouveaux utilisateurs et investisseurs, ainsi que leur argent, il a aussi commencé à attirer des pirates informatiques intéressés à voler cet argent.

C'est exactement ce qui est arrivé à un protocole DeFi connu sous le nom de Harvest Finance.

Qu'est-il arrivé ?

Selon de nouvelles informations, quelqu'un a réussi à pirater le projet en exploitant une vulnérabilité de tout l'écosystème DeFi. La faille leur a permis de voler jusqu'à 24 millions $ à Harvest Finance, un agrégateur de rendement pour fournir des liquidités à un certain nombre d'autres pools DeFi.

D'après ce que le projet a partagé sur Twitter, les pirates ont apparemment réussi à tirer parti du mécanisme du projet dans le pool Y de Curve et à mener une attaque.

The economic attack was performed through the curve y pool, stretching the price of the stablecoins in Curve out of proportion and depositing and withdrawing a large amount of assets through harvest.

To protect users, we've pulled y pool and btc curve strategy funds to the vault
— Harvest (@harvest_finance) October 26, 2020

Les pirates auraient pu augmenter le prix des stablecoins du pool Curve Y grâce à une manipulation d'arbitrage, en utilisant un prêt flash de 50 millions $. Après cela, ils ont utilisé des pools de Bitcoin et de stablecoins sur Harvest Finance lui-même pour obtenir une quantité encore plus grande de stablecoins, tout en fournissant des pièces à un prix élevé sur Curve.

L'ensemble de l'attaque a duré environ sept minutes, et pendant ce temps, les attaquants ont réussi à repartir avec 24 millions $.

Le volume des échanges sur l'USDT et l'USDC sur Curve est passé de 10 millions $ à plus de 2,7 milliards $ au moment de l'attaque.

Une autre attaque utilisant une méthode bien connue

Ce n'est pas non plus une méthode nouvelle, car l'attaque elle-même et sa nature ont déjà été longuement discutées dans un article académique de l'Imperial College de Londres. Le document explique exactement comment les prêts flash pourraient être utilisés pour manipuler les prix des paires de jetons, ce qui entraînerait une fuite de liquidités.

Cette attaque est également extrêmement similaire à celle qui a frappé Eminence, au cours de laquelle un hacker a réussi à voler 15 millions $. Comme beaucoup s'en souviennent, cet incident s'était fini avec une tournure intéressante, car l'attaquant avait fini par envoyer la moitié de l'argent volé à une adresse appartenant au développeur principal du projet.

La même chose s'est produite cette fois, bien que les assaillants n'aient pas renvoyé la moitié de l'argent, mais seulement 10 % de ce qu'ils ont volé. Alors que certains pensent que cela pourrait être la signature des hackers, d'autres considèrent qu'il s'agit d'une nouvelle tendance que les développeurs pourraient adopter.

“The attacker” sent some funds back because they’re such nice people. If this isn’t strong evidence that “the attacker” and “the devs” are the same then I don’t know what is. https://t.co/lNcE2DkcA6
— Riccardo Spagni (@fluffypony) October 26, 2020