DeFi : Plus de 11 millions de dollars dérobés sur les protocoles Hundred Finance et Agave

Hack d'ampleur sur Agave et Hundred Finance

Dure journée pour la finance décentralisée (DeFi) : les protocoles Hundred Finance et Agave ont tous les 2 subi un exploit, peu de temps après le hack de Deus Finance plus tôt dans la journée.

Unfortunately Hundred and Agave have both been exploited on Gnosis chain today. Gnosis team is aware, investigation is ongoing.

All the Hundred markets on all chains paused for now.

These are the two transactions:
Hundred https://t.co/mdtViohijn
Agave https://t.co/RKB5MVx0O4

— Hundred Finance (@HundredFinance) March 15, 2022

Au total, ce sont plus de 11 millions de dollars qui ont été subtilisés sur la Gnosis Chain (xDai) par le hacker. Le vol a été permis suite à une fonction introduite dans un des contrats déployés, laquelle a permis au voleur d'emprunter de l'argent avant même que les protocoles ne puissent s'en rendre compte. Ce procédé est communément appelé une « reentrancy attack », une forme d'exploit malheureusement assez courante.

? À lire : 7 bonnes pratiques pour protéger son portefeuille de cryptomonnaies d'un hack

Commander notre Livre pour tout comprendre aux cryptos

Publié aux Éditions Larousse

Une faille directement dans un des tokens

Dans un premier temps, le hacker a déposé l'équivalent de 2 millions de dollars en collateral via un flash loan, avant de dérober environ 1,5 million de dollars sur plusieurs tokens différents et, avant même que le protocole calcule le ratio emprunt/prêt, il a ensuite pu réitérer son action plusieurs fois. Ainsi, le montant emprunté était supérieur à celui déposé en collateral, empêchant le protocole de liquider sa position.

Enfin, l'individu a mis fin à l'exploit via la fonction « liquidationCall », lui permettant de repartir avec les fonds ainsi subtilisés après avoir remboursé le premier prêt initial.

Selon plusieurs analystes, Agave et Hundred Finance, respectivement des forks d'Aave et Compound, n'ont rien à reprocher à leur code interne. Effectivement, la faille proviendrait directement de tokens présentant des problèmes de sécurité, lesquels ont justement permis cette fonction de « reentrancy ».

Notons qu'Aave n'a pas à s'inquiéter de subir le même sort, puisque tous les tokens sont soigneusement étudiés avant d'être listés sur la plateforme notamment afin de s'assurer que la fonction reentrancy ne soit pas possible.

Quel impact pour les protocoles ?

Actuellement, il semble impossible de récupérer les fonds. Effectivement, ces derniers ont déjà transité sur le mainnet et un rollback n'est ainsi plus possible, bien que les smart contracts concernés aient été rapidement mis en pause. De plus, une partie des fonds est d'ores et déjà passée par le mixeur Tornado Cash, limitant fortement la possibilité de retracer les fonds.

Des investigations étant actuellement toujours en cours, nous ne savons pas encore si une quelconque mesure de remboursement est envisagée par les différentes équipes.

Concernant les tokens relatifs aux deux protocoles, celui de Hundred Finance (HND) n'a pas été réellement impacté, étant déjà inscrit dans une tendance baissière depuis le début du mois de février.

Cependant, celui d'Agave, l'AGVE, a pu observer une nette rupture, passant de 69,5 dollars à actuellement 53,2 dollars.

Cours du token AGVE sur 7 jours

👉 Retrouvez toute l'actualité des cryptomonnaies

Sources : @shegenerates, @Mudit_Gupta

Source graphique : CoinGecko

Rédacteur en chef de Cryptoast, je m'emploie à démocratiser le monde des cryptomonnaies et du Web3 pour tous.

Maximilien Prué

1201 articles

Tous ses articles