Hack d'ampleur sur Agave et Hundred Finance

Dure journée pour la finance décentralisée (DeFi) : les protocoles Hundred Finance et Agave ont tous les 2 subi un exploit, peu de temps après le hack de Deus Finance plus tôt dans la journée.

Au total, ce sont plus de 11 millions de dollars qui ont été subtilisés sur la Gnosis Chain (xDai) par le hacker. Le vol a été permis suite à une fonction introduite dans un des contrats déployés, laquelle a permis au voleur d'emprunter de l'argent avant même que les protocoles ne puissent s'en rendre compte. Ce procédé est communément appelé une « reentrancy attack », une forme d'exploit malheureusement assez courante.

👉 À lire : 7 bonnes pratiques pour protéger son portefeuille de cryptomonnaies d'un hack

Commandez notre livre

publié aux éditions Larousse 👆

Une faille directement dans un des tokens

Dans un premier temps, le hacker a déposé l'équivalent de 2 millions de dollars en collateral via un flash loan, avant de dérober environ 1,5 million de dollars sur plusieurs tokens différents et, avant même que le protocole calcule le ratio emprunt/prêt, il a ensuite pu réitérer son action plusieurs fois. Ainsi, le montant emprunté était supérieur à celui déposé en collateral, empêchant le protocole de liquider sa position.

Enfin, l'individu a mis fin à l'exploit via la fonction « liquidationCall », lui permettant de repartir avec les fonds ainsi subtilisés après avoir remboursé le premier prêt initial.

Selon plusieurs analystes, Agave et Hundred Finance, respectivement des forks d'Aave et Compound, n'ont rien à reprocher à leur code interne. Effectivement, la faille proviendrait directement de tokens présentant des problèmes de sécurité, lesquels ont justement permis cette fonction de « reentrancy ».

Notons qu'Aave n'a pas à s'inquiéter de subir le même sort, puisque tous les tokens sont soigneusement étudiés avant d'être listés sur la plateforme notamment afin de s'assurer que la fonction reentrancy ne soit pas possible.

Quel impact pour les protocoles ?

Actuellement, il semble impossible de récupérer les fonds. Effectivement, ces derniers ont déjà transité sur le mainnet et un rollback n'est ainsi plus possible, bien que les smart contracts concernés aient été rapidement mis en pause. De plus, une partie des fonds est d'ores et déjà passée par le mixeur Tornado Cash, limitant fortement la possibilité de retracer les fonds.

Des investigations étant actuellement toujours en cours, nous ne savons pas encore si une quelconque mesure de remboursement est envisagée par les différentes équipes.

Concernant les tokens relatifs aux deux protocoles, celui de Hundred Finance (HND) n'a pas été réellement impacté, étant déjà inscrit dans une tendance baissière depuis le début du mois de février.

Cependant, celui d'Agave, l'AGVE, a pu observer une nette rupture, passant de 69,5 dollars à actuellement 53,2 dollars.

Graphique AGVE

Cours du token AGVE sur 7 jours

 

👉 Retrouvez toute l'actualité des cryptomonnaies

Sources : @shegenerates, @Mudit_Gupta

Source graphique : CoinGecko

Newsletter 🍞

Recevez un récapitulatif de l'actualité crypto chaque dimanche 👌 Et c'est tout.

A propos de l'auteur : Maximilien Prué

twitter-soothsayerdata

Passionné par le monde de la finance décentralisée et les nouveautés apportées par le Web 3.0, je rédige des articles pour Cryptoast afin d'aider à rendre la blockchain plus accessible à tous. Persuadé que les cryptomonnaies vont changer le futur très prochainement.
Tous les articles de Maximilien Prué.

guest
0 Commentaires
Inline Feedbacks
View all comments