DeFi : un hacker subtilise $350k en exploitant le protocole Fulcrum de bZx
Le 15 février, le projet de finance décentralisée (DeFi) bZx a subi une attaque visant son protocole Fulcrum au cours de laquelle un hacker a réussi à manipuler plusieurs autres protocoles DeFi pour extraire 350 000 dollars de la plateforme. Retour sur l'incroyable complexité de cette transaction ayant rapporté gros.
Un mécanisme bien complexe
Pour bien comprendre comment cela a-t-il bien pu arriver, il faut savoir que bZx utilise des oracles pour fixer le prix des produits qu'il propose.
Dans le domaine de la blockchain, les oracles sont des sources d'informations qui ont pour rôle d'alimenter des smart-contracts avec des informations externes qui peuvent déclencher des actions prédéfinies de ce dernier, par exemple un ajustement de son prix.
Selon des informations recueillies par CoinDesk, le problème était que la plateforme bZx ne dépendait que d'un seul oracle pour la fixation de ses prix. Le hacker a alors profité de cette particularité pour tromper le protocole Fulcrum.
Dans sa globalité, l'opération est une forme complexe de multiples transactions réalisées simultanément sur plusieurs plateformes. Pour commencer, le hacker a emprunté 10 000 Ethers (ETH) au protocole dYdX et a divisé les fonds en deux. Une moitié a été envoyée à Compound Finance comme garantie et l'autre moitié a été envoyée au protocole Fulcrum de bZx.
Une fois les montants déposés sur les plateformes, le hacker a emprunté 112 Wrapped BTC (WBTC) sur Compound finance avec les 5 500 ETH déposés au préalable. Cela représentait au moment de la transaction environ 1,1 million de dollars.
Parallèlement, il a court-circuité le wBTC sur Fulcrum, provoquant une baisse effective du prix. Pour ce faire, il a vendu le wBTC emprunté sur Kyber Uniswap pour déclencher sa position short. Cela a entraîné une baisse importante du prix du wBTC d'Uniswap, qui représente 14,6 % de l'offre totale de wBTC.
Pour terminer, il a remboursé l'emprunt et est reparti avec 350 000 dollars de bénéfices. Le wBTC a probablement été choisi pour l'opération en raison de la faiblesse de sa liquidité sur le marché. Les transactions réalisées par le hacker ont donc eux un impact considérable sur les prix, rendant possible l'opération.
? À lire sur le même sujet : Qu'est-ce que le « Bitcoin emballé » ou Wrapped BTC (WBTC) ?
L'épopée complète de 10 000 ETH empruntés.
Tenez-vous bien. Les frais engendrés par cette opération ne sont que de 8,28 dollars... L’entièreté du procédé est visible sur Etherscan.io à cette adresse.
Julien Bouteloup, fondateur de la société d'investissement DeFi Stake Capital, a rassemblé toutes les informations de l'opération afin d'illustrer sa complexité en une seule image publiée sur Twitter :
L'extrême complexité de l'ensemble de l'opération.
Tout est sous contrôle ?
Le 16 février, bZx, a publié une mise à jour de la situation sur Twitter. L'équipe affirme qu'aucun des utilisateurs de sa plateforme n'a perdu le moindre centime :
https://twitter.com/bzxHQ/status/1228787125740437504
Traduction : “ Funds are SAFU : Tous les utilisateurs ne subissent aucune perte. La nuit dernière, une attaque contre notre protocole a été largement diffusée. Du point de vue du protocole, quelqu'un a simplement contracté un emprunt. Du point de vue du prêteur, ce prêt est comme n'importe quel autre. ”
Pour faire en sorte que ce genre d'événement ne se reproduise plus, bZx doit diversifier ses sources de prix. L'équipe aurait déjà trouvé la solution idéale avec les produits que propose ChainLink (LINK). Un représentant de bZx a déclaré :
“ Nous avons discuté avec l'équipe hier. Tom et Kyle (les fondateurs) ont rencontré Sergey plusieurs fois auparavant. Nous allons intégrer ChainLink. ”
En quelques mots, ChainLink propose à ses utilisateurs un réseau composé à l'heure de l'écriture de cet article de 73 oracles.
Avec plusieurs oracles et donc de plusieurs sources de données, la manipulation du marché sera toujours possible, mais bien plus difficile.
? À lire sur le même sujet : Qu'est-ce que le ChainLink (LINK) et comment en acheter ?
Alors que l'écosystème de la finance décentralisée se développe à une vitesse éclair, ce genre d'événements pourrait ralentir sa progression et entacher l'image de tout l'écosystème.
Toutefois, en utilisant les solutions développées par ChainLink, les plateformes de la DeFi ont la possibilité de déjouer ce genre de fâcheux problème, une aubaine pour le projet souhaitant connecter le monde on-chain et le monde off-chain.
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌