Un hacker dérobe 30 millions de dollars aux utilisateurs du protocole Grim Finance

Cette semaine encore, la finance décentralisée (DeFi) n'est pas épargnée par les hacks. Un attaquant est parvenu à subtiliser 30 millions de dollars au protocole Grim Finance, grâce à une attaque de type « re-entrancy », pourtant relativement connue.

Un hacker dérobe 30 millions de dollars aux utilisateurs du protocole Grim Finance

Grim Finance se fait dérober 30 millions de dollars

Grim Finance (GRIM), un protocole de finance décentralisée (DeFi), a confirmé l'information sur son compte Twitter. Ce samedi, il a été victime d'une attaque entraînant la perte de 30 millions de dollars d'actifs numériques. La faille touchant directement les « vaults » (i.e coffre-fort) l'ensemble des fonds des utilisateurs est actuellement à risque.

Le protocole est implémenté sur la blockchain Fantom Opera, construite en langage Solidity et compatible avec Ethereum (ETH). Grim Finance se veut « optimiseur de rendements composés », c'est-à-dire qu'il promet d'apporter un rendement à vos tokens en les bloquant temporairement dans ses vaults.

Dans sa documentation technique, Grim déclare vouloir « aider les utilisateurs à récolter plus de récompenses, sans tracas ». Raté, il semblerait.

👉 Pour approfondir – Un hacker dérobe plus de 130 millions de dollars au protocole Cream Finance

En quoi consiste cette attaque ?

Selon les informations de Grim Finance, le hacker aurait utilisé une attaque assez courante de type « reentrancy ». Il s'agit d'initier une demande de retrait de fonds, puis d'en réaliser plusieurs autres en simultané tant que la première est en exécution. Ainsi, l'attaquant trompe le protocole et effectue un retrait dépassant le montant total du coffre-fort.

Dans ce genre de cas, les protocoles ne disposent généralement que d'une sécurité à l'initiation et à la finalisation de votre demande. Ils vérifient d'abord que votre coffre-fort dispose du montant suffisant pour effectuer le retrait. Puis, une vérification supplémentaire est assurée à la validation de la transaction, principalement pour calculer les frais apposés.

En supposant que l'on arrive à effectuer plusieurs demandes de retrait de la totalité du coffre en simultané avant qu'une seule d'entre elles soit validée. Alors, chacune sera autorisée et l'on pourra donc retirer plus que ce que l'on possède réellement. C'est le principe (très simplifié) d'une « reentrancy attack». 

👉 Sur le même thème – Un hacker exploite une faille du protocole BadgerDAO et dérobe 120 millions de dollars aux utilisateurs

Rejoignez des experts et une communauté Premium

PRO

Investissez dans vos connaissances crypto pour le prochain bullrun

toaster icon

Quel est l'avenir de Grim Finance ?

Les attaques de type « reentrancy » sont relativement communes sur Ethereum, et commencent à être bien cernées et appréhendées par les protocoles. D'ailleurs, Rugdoc.io, un groupe de surveillance de DeFi composé d'auditeurs d'experts en smart contrats, affirme dans une série de tweets que la faute incombe directement à Grim Finance. Le code aurait dû contenir un « reentrancy guard », à savoir une protection spécifique contre ce type d'attaque.

« Espérons que tous les projets peuvent tirer des leçons de cet incident. Il y a beaucoup de connaissances que la plupart des développeurs Solidity expérimentés ont à portée de main. Si vous ne l'avez pas encore compris, ne construisez pas de projets de plusieurs millions de dollars. Ne vous faites pas auditer par des entreprises dont tout le monde sait qu'elles ne servent à rien, » peut-on lire dans un des tweets.

Grim Finance est passé par la société Solidity Finance pour auditer la sécurité du code des smart-contrats de son protocole. Selon leur rapport, « ReetrancyGuard est utilisé aux endroits où cela est nécessaire pour prévenir les attaques de type reentrancy ». Raté, encore une fois.

Coup dur pour l'économie de l'écosystème Grim Finance, le token GRIM n'a pas tardé à accuser le coup de la nouvelle. Le prix a chuté de plus de 80%, passant d'environ 0,8$ à seulement 0,15$ au plus bas. À l'heure de l'écriture de ces lignes, il s'échange pour 0,2$.

Chute token GRIM

Évolution du cours du token GRIM - Source : CoinGecko

Dans la matinée ce dimanche, certains vaults ont été temporairement ouverts pour que les utilisateurs retirent leurs fonds. Toutefois, depuis la fin d'après-midi, tous les dépôts et retraits dans les vaults de Grim Finance restent en pause pour éviter tout nouvel incident.

👉 Pour aller plus loin – La société d'audit CertiK lève 80 millions de dollars pour continuer à sécuriser l'écosystème

[wd_hustle id="Newsletter" type="embedded"/]
guest
0 Commentaires
Inline Feedbacks
View all comments
Voir plus
Tout voir

Cryptoast

Le site qui explique tout de A à Z sur le Bitcoin, la blockchain et les crypto-monnaies. Des actualités et des articles explicatifs pour découvrir et progresser dans ces secteurs !


Achetez sur Binance

-10% de réduction sur les frais, avec le
code SVULQ98B 🔥 Et aussi -10% sur
Binance Futures avec le code cryptoast

Les articles les plus lus

Le ministère de l’Économie a demandé l'accès au solde de tous les comptes bancaires des Français

Le ministère de l’Économie a demandé l'accès au solde de tous les comptes bancaires des Français

Celsius : les clients n’auront pas besoin de rembourser leurs emprunts

Celsius : les clients n’auront pas besoin de rembourser leurs emprunts

La plus grande société de télécommunications européenne lance un service de staking Ethereum (ETH)

La plus grande société de télécommunications européenne lance un service de staking Ethereum (ETH)

Le Bitcoin (BTC) et l'Ether (ETH) toujours sous résistances – Enfin le mouvement que tout le monde attend ?

Le Bitcoin (BTC) et l'Ether (ETH) toujours sous résistances – Enfin le mouvement que tout le monde attend ?

Achetez sur Binance

-10% de réduction sur les frais, avec le
code SVULQ98B 🔥 Et aussi -10% sur
Binance Futures avec le code cryptoast