Un hacker exploite un bug de Popsicle Finance et draine 20 millions de dollars

Un « simple » bug sur Popsicle Finance, une plateforme décentralisée de yield farming, a permis à un hacker de drainer 20 millions de dollars. Cela vient s'ajouter à la liste des plus de 20 piratages ayant eu lieu dans le secteur de la DeFi depuis le début de l'année, portant le montant total des pertes à plus de 310 millions de dollars.

Un hacker exploite un bug de Popsicle Finance et draine 20 millions de dollars

Une nouvelle attaque visant la DeFi

Dans la journée d'hier, Popsicle Finance, un projet multi-chaine dédié au yield farming, a annoncé avoir subi un hack. L'attaquant aurait exploité un bug présent dans l'algorithme pour subtiliser près de 20 millions de dollars.

Cette affaire rejoint ainsi la liste déjà fournie des attaques ayant touchées le secteur de la finance décentralisée (DeFi). Depuis le début de l'année, on décompte plus de 20 piratages et un montant total de 310 millions de dollars subtilisés.

Dans un thread Twitter, le chercheur en sécurité Mudit Gupta a détaillé comment le hacker a procédé pour exploiter subtilement une faille dans le protocole.

L'expert en sécurité a notamment expliqué avoir déjà signalé un bug similaire dans un autre programme, précisant que ce type d'erreur « a déjà été exploitée dans une douzaine d'autres protocoles ». Selon lui, dans le cas de Popsicle Finance, « le piratage était complexe mais le bug était simple ».

💡 Sur le même thème – ChainSwap victime d’une seconde attaque en dix jours – Les cours des tokens dégringolent

Le « sorbet fraise » de Popsicle Finance

Dans le modèle d'Uniswap, tout utilisateur peut devenir fournisseur de liquidité pour une paire donnée, comme ETH/USDT par exemple. Ceux-ci sont autorisés à définir une gamme de prix spécifique dans laquelle ils aimeraient ajouter de la liquidité, s'ils sont convaincus que l'actif va continuer d'évoluer dans cette fourchette.

L'intérêt est qu'Uniswap verse aux fournisseurs de liquidité une partie de tous les frais de transaction générés. Généralement, ils s'élèvent à 0.3 %, bien qu'ils peuvent être ajustés au supérieur.

Toutefois, le marché évolue très rapidement et les fournisseurs de liquidités sont incités à optimiser leur offre de la manière la plus précise possible. Si l'actif sort de la fourchette de prix définie, il faut que l'utilisateur réajuste ses paramètres pour continuer d'exploiter le protocole d'Uniswap.

Assez logiquement, on entre dans une course à l'optimisation qui peut s'avérer lourde pour les néophytes. C'est pourquoi Popsicle Finance a crée le produit Sorbetto Fragola (« sorbet à la fraise », en italien). Ainsi, les utilisateurs peuvent simplement déposer leurs cryptomonnaies dans Fragola, et l'algorithme définira le pool de liquidités le plus lucratif dans lequel les investir.

👉 Retrouvez toute l'actualité de la finance décentralisée (DeFi)

Rejoignez des experts et une communaut� Premium

PRO

Investissez dans vos connaissances crypto pour le prochain bullrun

toaster icon

Une solution trop alléchante ?

Malheureusement, le produit de Popsicle Finance, d'apparence très avantageux, a été terni par des problèmes de sécurité. Sur le réseau social Reddit, de nombreuses personnes rapportent avoir subi d'immenses pertes. L'une d'entre elles explique même avoir déjà essuyé « une chute de 30% dans les dernières minutes, » avant d'ajouter « Édit : maintenant 50% ». Au total, 4300 ETH ont été drainés des poches des utilisateurs.

Dans les quelques heures qui ont suivi l'attaque, le prix du token natif du projet, ICE, a dégringolé de plus de 60%.

ICE dro

Chute du prix du ICE suite à l'attaque du protocole Popsicle Finance - Source : TradingView

 

Sur Twitter, Popsicle a demandé à ses utilisateurs de retirer immédiatement leurs fonds de tous les pools ETH/AXS, ETH/SLP, ETH/LINK ou ceux de toutes les paires liées à l'EURt.

? Pour aller plus loin – La plus grosse attaque ransomware de tous les temps – 70M de dollars en Bitcoin (BTC) demandés

Newsletter 🍞

Recevez un récapitulatif de l'actualité crypto chaque lundi par mail 👌

Subscribe
Me notifier des
guest
0 Commentaires
Inline Feedbacks
View all comments
Voir plus
Tout voir

Cryptoast

Le site qui explique tout de A à Z sur le Bitcoin, la blockchain et les crypto-monnaies. Des actualités et des articles explicatifs pour découvrir et progresser dans ces secteurs !


Les articles les plus lus

Londres : une femme arrêtée en possession de 2 milliards de livres (GBP) de cryptomonnaies

Londres : une femme arrêtée en possession de 2 milliards de livres (GBP) de cryptomonnaies

La France est 4e des pays d'Europe qui taxent le plus les cryptomonnaies

La France est 4e des pays d'Europe qui taxent le plus les cryptomonnaies

IA : Fetch.ai, Ocean Protocol et SingularityNET veulent fusionner leurs tokens

IA : Fetch.ai, Ocean Protocol et SingularityNET veulent fusionner leurs tokens

Bitcoin (BTC) : le halving est dans moins d'un mois, qu'est-ce qui va changer ?

Bitcoin (BTC) : le halving est dans moins d'un mois, qu'est-ce qui va changer ?