Un hacker exploite un bug de Popsicle Finance et draine 20 millions de dollars
Un « simple » bug sur Popsicle Finance, une plateforme décentralisée de yield farming, a permis à un hacker de drainer 20 millions de dollars. Cela vient s'ajouter à la liste des plus de 20 piratages ayant eu lieu dans le secteur de la DeFi depuis le début de l'année, portant le montant total des pertes à plus de 310 millions de dollars.
le 5 août 2021 à 15:00.
3 minutes de lecture
Une nouvelle attaque visant la DeFi
Dans la journée d'hier, Popsicle Finance, un projet multi-chaine dédié au yield farming, a annoncé avoir subi un hack. L'attaquant aurait exploité un bug présent dans l'algorithme pour subtiliser près de 20 millions de dollars.
Cette affaire rejoint ainsi la liste déjà fournie des attaques ayant touchées le secteur de la finance décentralisée (DeFi). Depuis le début de l'année, on décompte plus de 20 piratages et un montant total de 310 millions de dollars subtilisés.
Dans un thread Twitter, le chercheur en sécurité Mudit Gupta a détaillé comment le hacker a procédé pour exploiter subtilement une faille dans le protocole.
Popsicle Finance exploited, hacker drained ~$25m. The hack was complex but the bug was simple. TX Hash: https://t.co/CqyVvCq5I7
Basically, Popsicle doesn't transfer the reward debt when users transfer their shares. This exposes multiple exploits, one of which was used here 🧵👇 pic.twitter.com/shdYdyemD9
— Mudit Gupta (@Mudit__Gupta) August 4, 2021
L'expert en sécurité a notamment expliqué avoir déjà signalé un bug similaire dans un autre programme, précisant que ce type d'erreur « a déjà été exploitée dans une douzaine d'autres protocoles ». Selon lui, dans le cas de Popsicle Finance, « le piratage était complexe mais le bug était simple ».
💡 Sur le même thème – ChainSwap victime d’une seconde attaque en dix jours – Les cours des tokens dégringolent
Le « sorbet fraise » de Popsicle Finance
Dans le modèle d'Uniswap, tout utilisateur peut devenir fournisseur de liquidité pour une paire donnée, comme ETH/USDT par exemple. Ceux-ci sont autorisés à définir une gamme de prix spécifique dans laquelle ils aimeraient ajouter de la liquidité, s'ils sont convaincus que l'actif va continuer d'évoluer dans cette fourchette.
L'intérêt est qu'Uniswap verse aux fournisseurs de liquidité une partie de tous les frais de transaction générés. Généralement, ils s'élèvent à 0.3 %, bien qu'ils peuvent être ajustés au supérieur.
Toutefois, le marché évolue très rapidement et les fournisseurs de liquidités sont incités à optimiser leur offre de la manière la plus précise possible. Si l'actif sort de la fourchette de prix définie, il faut que l'utilisateur réajuste ses paramètres pour continuer d'exploiter le protocole d'Uniswap.
Assez logiquement, on entre dans une course à l'optimisation qui peut s'avérer lourde pour les néophytes. C'est pourquoi Popsicle Finance a crée le produit Sorbetto Fragola (« sorbet à la fraise », en italien). Ainsi, les utilisateurs peuvent simplement déposer leurs cryptomonnaies dans Fragola, et l'algorithme définira le pool de liquidités le plus lucratif dans lequel les investir.
👉 Retrouvez toute l'actualité de la finance décentralisée (DeFi)
Rejoignez des experts et une communaut� Premium
PRO
Investissez dans vos connaissances crypto pour le prochain bullrun
Une solution trop alléchante ?
Malheureusement, le produit de Popsicle Finance, d'apparence très avantageux, a été terni par des problèmes de sécurité. Sur le réseau social Reddit, de nombreuses personnes rapportent avoir subi d'immenses pertes. L'une d'entre elles explique même avoir déjà essuyé « une chute de 30% dans les dernières minutes, » avant d'ajouter « Édit : maintenant 50% ». Au total, 4300 ETH ont été drainés des poches des utilisateurs.
Dans les quelques heures qui ont suivi l'attaque, le prix du token natif du projet, ICE, a dégringolé de plus de 60%.
Chute du prix du ICE suite à l'attaque du protocole Popsicle Finance - Source : TradingView
Sur Twitter, Popsicle a demandé à ses utilisateurs de retirer immédiatement leurs fonds de tous les pools ETH/AXS, ETH/SLP, ETH/LINK ou ceux de toutes les paires liées à l'EURt.
? Pour aller plus loin – La plus grosse attaque ransomware de tous les temps – 70M de dollars en Bitcoin (BTC) demandés
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Journaliste pour Cryptoast, je m'efforce de décortiquer chaque détail de l'univers passionnant des cryptomonnaies et de le rendre accessible et compréhensible au plus grand nombre.
Lilian Aliaga
579 articles
