DeFi : des hackers exploitent une vulnérabilité de dForce et drainent $25M

Le principal protocole chinois de la finance décentralisée (DeFi), dForce, a été victime d'une attaque et a perdu près de 25 millions de dollars.

Un protocole complètement ruiné

Cette attaque d'une ampleur considérable a eu lieu le 19 avril 2020 à 9h15 (UTC+8). L'argent a été drainé des contrats de Lendf.Me, un protocole de prêt qui fait partie du réseau de dForce. Le site de Lendf.Me est désormais hors ligne et l'intégralité de ses smart-contracts ont été désactivés.

L'attaque aurait porté sur une vulnérabilité inhérente au standard de token ERC-777 d'Ethereum (ETH).

La même faille a été utilisée pour soutirer plus de 300 000 dollars en Wrapped Bitcoin (WBTC) des smart-contracts du protocole d'échanges de tokens Ethereum décentralisé Uniswap contenant du imBTC, un token ERC-777 qui tokénise Bitcoin.

Pour drainer ces 25 millions de dollars, les hackers ont donc utilisé un mécanisme de rappel du imBTC qui leur a permis de fournir et de retirer du imBTC du protocole à plusieurs reprises avant que le solde ne soit mis à jour.

Les prêts de imBTC sur la plateforme Lendf.Me avaient été ajoutés par dForce en janvier dernier. Malencontreuse erreur. En effet, cette faille a été révélée et décrite par ConsenSys lors d'un audit sur Uniswap réalisé en décembre 2018, soit 16 mois avant les attaques.

Selon le post sur GitHub révélant les détails de l'audit, cette vulnérabilité implique qu'un attaquant crée un faux exchange (pool) qui ressemble à l'exchange original.

À partir de là, ConsenSys indique que l'attaquant peut manipuler Uniswap pour rendre le prix d'un actif très bon marché, lui permettant de fausser le prix des actifs avec des tokens à un prix bien inférieur à leur valeur réelle du marché.

Sur le graphique ci-dessous, le résultat de cette attaque est impressionnant. Son effet est catastrophique pour dForce et ses utilisateurs. La quasi totalité des fonds bloqués dans le protocole Lendf.Me se sont volatilisés. Seuls 10 000 dollars sont encore présents :

Évolution de la valeur totale bloquée (en dollars) sur dForce - Source : DeFi Pulse

Les mesures prisent par dForce

Suite à l'incident, le PDG de dForce, Mindao Yang, a tenu à s'excuser sur Medium en ajoutant qu'il se sentait comme seul responsable de l'incident :

“ Cette attaque a été mon échec. Bien que je ne l'aie pas exécutée, j'aurais dû l'anticiper et prendre des mesures pour l'empêcher. Je suis de tout cœur avec tous ceux qui ont été affectés, et je ferai tout ce qui est en mon pouvoir pour réparer les dégâts. Je présente mes excuses les plus sincères à nos utilisateurs, à nos nouveaux investisseurs et à mon équipe pour les avoir laissés tomber. ”

Selon Mindao Yang, le(s) hacker(s) a (ont) tenté de contacter dForce et l'équipe a l'intention d'entamer des discussions avec lui (eux).

Ils ont également contacté les services de police de plusieurs juridictions, contacté les émetteurs d'actifs et les exchanges pour retrouver et mettre sur liste noire les adresses du ou des hackers, et fait appel à leurs équipes juridiques.

Le PDG de dForce précise également dans son message que ses fonds personnels ont également été volés pendant l'attaque.

En ce qui concerne le procotole dForce en lui-même, Mindao Yang a conclu en affirmant que lui et son équipe travaillent déjà à remettre le système sur pied :

“ Bien que nous ayons été terrassés par cette attaque, je n'ai pas l'intention de la laisser nous arrêter. ”

Une grande perte pour la DeFi ?

Avant l'incident, dForce était le 7e plus important protocole de la DeFi si l'on se réfère au nombre de dollars qui lui était alloué. Même si l'équipe fait ce qu'elle peut pour relancer le système, il est peu probable que la communauté y réaccorde la moindre confiance.

Ajoutons également que dForce venait tout juste - 4 jours avant l'attaque - de lever 1,5 millions de dollars, sous la direction de Multicoin Capital et avec la participation de Huobi Capital et de la China Merchants Bank International (CMBI), la branche d'investissement de l'une des plus grandes banques chinoises.

Ce n'est pas la première fois qu'un protocole de la DeFi subit une telle attaque, mais cette dernière est d'une ampleur considérable et a complètement anéanti l'écosystème de dForce.

Un tel incident remet de nouveau en question la sécurité de la finance décentralisée et prouve que les protocoles ne sont pas encore totalement sûrs. De plus, la somme drainée par les hackers est bien supérieure à celle qui avait été subtilisée lors d'une faille du protocole Fulcrum de bZx en février dernier.

👉 Pour en savoir plus : DeFi : un hacker subtilise $350k en exploitant le protocole Fulcrum de bZx.

Directeur de publication de Cryptoast, je découvre le Bitcoin et la technologie blockchain en 2017. Depuis, je m'efforce de partager un contenu qualitatif pour que le secteur se démocratise auprès de tous.

Clément Wardzala

1866 articles

Tous ses articles