Une nouvelle attaque visant la DeFi

Dans la journée d'hier, Popsicle Finance, un projet multi-chaine dédié au yield farming, a annoncé avoir subi un hack. L'attaquant aurait exploité un bug présent dans l'algorithme pour subtiliser près de 20 millions de dollars.

Cette affaire rejoint ainsi la liste déjà fournie des attaques ayant touchées le secteur de la finance décentralisée (DeFi). Depuis le début de l'année, on décompte plus de 20 piratages et un montant total de 310 millions de dollars subtilisés.

Dans un thread Twitter, le chercheur en sécurité Mudit Gupta a détaillé comment le hacker a procédé pour exploiter subtilement une faille dans le protocole.

L'expert en sécurité a notamment expliqué avoir déjà signalé un bug similaire dans un autre programme, précisant que ce type d'erreur « a déjà été exploitée dans une douzaine d'autres protocoles ». Selon lui, dans le cas de Popsicle Finance, « le piratage était complexe mais le bug était simple ».

👉 Sur le même thème – ChainSwap victime d’une seconde attaque en dix jours – Les cours des tokens dégringolent

Le « sorbet fraise » de Popsicle Finance

Dans le modèle d'Uniswap, tout utilisateur peut devenir fournisseur de liquidité pour une paire donnée, comme ETH/USDT par exemple. Ceux-ci sont autorisés à définir une gamme de prix spécifique dans laquelle ils aimeraient ajouter de la liquidité, s'ils sont convaincus que l'actif va continuer d'évoluer dans cette fourchette.

L'intérêt est qu'Uniswap verse aux fournisseurs de liquidité une partie de tous les frais de transaction générés. Généralement, ils s'élèvent à 0.3 %, bien qu'ils peuvent être ajustés au supérieur.

Toutefois, le marché évolue très rapidement et les fournisseurs de liquidités sont incités à optimiser leur offre de la manière la plus précise possible. Si l'actif sort de la fourchette de prix définie, il faut que l'utilisateur réajuste ses paramètres pour continuer d'exploiter le protocole d'Uniswap.

Assez logiquement, on entre dans une course à l'optimisation qui peut s'avérer lourde pour les néophytes. C'est pourquoi Popsicle Finance a crée le produit Sorbetto Fragola (« sorbet à la fraise », en italien). Ainsi, les utilisateurs peuvent simplement déposer leurs cryptomonnaies dans Fragola, et l'algorithme définira le pool de liquidités le plus lucratif dans lequel les investir.

👉 Retrouvez toute l'actualité de la finance décentralisée (DeFi)

Nous suivre sur WhatsApp

Recevez chaque jour les actualités crypto 🔥
Mais pas que 👀

Une solution trop alléchante ?

Malheureusement, le produit de Popsicle Finance, d'apparence très avantageux, a été terni par des problèmes de sécurité. Sur le réseau social Reddit, de nombreuses personnes rapportent avoir subi d'immenses pertes. L'une d'entre elles explique même avoir déjà essuyé « une chute de 30% dans les dernières minutes, » avant d'ajouter « Édit : maintenant 50% ». Au total, 4300 ETH ont été drainés des poches des utilisateurs.

Dans les quelques heures qui ont suivi l'attaque, le prix du token natif du projet, ICE, a dégringolé de plus de 60%.

ICE dro

Chute du prix du ICE suite à l'attaque du protocole Popsicle Finance - Source : TradingView

 

Sur Twitter, Popsicle a demandé à ses utilisateurs de retirer immédiatement leurs fonds de tous les pools ETH/AXS, ETH/SLP, ETH/LINK ou ceux de toutes les paires liées à l'EURt.

👉 Pour aller plus loin – La plus grosse attaque ransomware de tous les temps – 70M de dollars en Bitcoin (BTC) demandés

Newsletter 🍞

Recevez un récapitulatif de l'actualité crypto chaque dimanche 👌 Et c'est tout.

A propos de l'auteur : Lilian Aliaga

twitter-soothsayerdatatwitter-soothsayerdata

Rédacteur freelance situé entre Paris et Toulouse. Je souhaite partager ma passion pour l’univers des cryptomonnaies au plus grand nombre. Je m’intéresse également à l’analyse technique et au trading.
Tous les articles de Lilian Aliaga.

guest
0 Commentaires
Inline Feedbacks
View all comments