Une attaque très complexe...

Selon une publication sur Medium de Mike McDonald, le cofondateur du protocole Balancer, le hacker a mené l'attaque en deux transactions distinctes.

La première a eu lieu le dimanche 28 juin à 20h03 et la seconde à 20h49 (heure de Paris). Seuls les pools avec les tokens Statera (STA) et STONK, des tokens déflationnistes avec des frais de transfert, ont été affectés par cette vulnérabilité.

Les pools de Balancer sont des systèmes de type Uniswap qui font office de teneurs de marchés automatiques (AMM). Ils contiennent de multiples actifs et les maintiennent en équilibre dans certaines proportions en créant des possibilités d'arbitrage pour l'échange de tout actif.

Pour parvenir à exploiter le protocole, l'attaquant a utilisé un smart contract dans le but d'automatiser plusieurs actions en une seule transaction.

Dans un premier temps, l'attaquant a souscrit à un emprunt instantané (« flash loan ») de 104 000 WETH sur la plateforme dYdX, soit 23 millions de dollars.

Il a ensuite utilisé ces fonds pour échanger 24 fois les WETH contre des tokens STA, ce qui lui a permis de drainer le solde du STA dans le pool jusqu'à un weiSTA, soit 0,000000000000000001 STA.

Cela a été possible, car des frais de transaction de 1% ont été soustraits à chaque échange, en raison du modèle déflationniste suivi par le token STA. Le solde de STA étant proche de zéro dans le pool, l'attaquant est parvenu à l'échanger pour d'autres actifs présents dans le pool à très bas prix.

En répétant l'opération plusieurs fois, l'attaquant a drainé 601,3 ETH (135 000 $), 11,36 WBTC (~103 500$), 22 593 LINK (103 000$), et 60 915 SNX (~111 000$).

Pour terminer, l'attaquant a ensuite remboursé l'emprunt instantané des 104 000 WETH à dYdX.

👉 À lire sur le même sujet : DeFi : un hacker subtilise $350k en exploitant le protocole Fulcrum de bZx

 

... pas à la portée de n'importe qui

Comme le précise la société 1inch sur Medium, une telle attaque n'était pas à la portée du premier venue. Selon eux, le responsable serait un ingénieur ayant des connaissances très poussées en matière de smart contracts et une compréhension approfondie des principaux protocoles de la DeFi.

Ils estiment que l'attaque a été soigneusement préparée à l'avance. En effet, le hacker a pris soin d'utiliser le service de mixage d'ethers Tornado Cash dans le but de cacher l'origine des fonds utilisés.

Avant l'utilisation de cette vulnérabilité, le protocole de Balancer avait déjà été audité par les firmes Trails on Bits et ConsenSys Diligence, ce qui devait naturellement garantir que ses services étaient exempts de la moindre faille.

Un troisième audit de sécurité déjà prévu en amont de l'attaque est en ce moment en cours et pourrait révéler d'autres failles du protocole.

Malgré cette vulnérabilité, le protocole en lui-même et son token de gouvernance, le BAL, n'ont pour le moment subit aucune baisse de leur capitalisation respective.

Balancer garde même la 4e position des protocoles de la DeFi en terme de capitalisation, derrière Compound, Maker et Synthetix, avec l'équivalent d'environ 116 millions de dollars d'actifs verrouillés en son sein.

👉 Sur le même thème : Un hacker prétend détenir les bases de données de Ledger et de Trezor

 

Les tokens STA et STONK à l'agonie

Conséquence directe de cette attaque, les tokens concernés ont tous deux connu des chutes colossales de leurs prix.

Suite à l'attaque, le cours du STONK a chuté de 0,0088$ à 0,00014$, soit une baisse de plus de 98%. Le STONK ayant une très faible capitalisation, le cours est rapidement remonté au-dessus de son prix d'avant l'attaque.

Cependant, du côté du STA, la situation est bien différente. Avant l'attaque le prix du token avoisinait les 0,047$. Il a rapidement subi une chute de près de 93%, provoquant une baisse du prix jusqu'à 0,0032$.

Le cours du token peine encore à remonter la pente bien que le volume de ses marchés pousse à la hausse ces dernières heures :

Cours du STA

Évolution du cours du STA depuis le 23 juin - Source : CoinGecko

 

Cet événement survient en pleine croissance de l'écosystème de la DeFi. La capitalisation totale des actifs verrouillés dans les applications DeFi a grimpé en flèche ces derniers temps et atteint aujourd'hui 1,65 milliard de dollars, soit une hausse de plus de 65% en moins de 2 semaines.

Une partie de la crypto-communauté compare même cette hausse soudaine à l'explosion des ICOs ayant eu lieu en 2017, une période accompagnée de nombreux risques pour les investisseurs.

Bien que d'importantes leçons aient été acquises depuis cette période, la faille du protocole Balancer ne doit pas être prise à la légère et rappelle à quel point cet écosystème est encore loin d'être hors d'atteinte de potentielles attaques, malgré toutes les précautions prises.

👉 Pour aller plus loin : DeFi : des hackers exploitent une vulnérabilité de dForce et drainent $25M

Newsletter 🍞
Recevez un récapitulatif de l'actualité crypto chaque dimanche 👌 Et c'est tout.

A propos de l'auteur : Clément Wardzala

twitter-soothsayerdatatwitter-soothsayerdata

Rédacteur en chef de Cryptoast, je découvre le Bitcoin et la technologie blockchain en 2017. Depuis, je m'efforce de partager un contenu qualitatif pour que le secteur se démocratise auprès de tous.
Tous les articles de Clément Wardzala.

guest
0 Commentaires
Inline Feedbacks
View all comments