Le protocole DeFi Crema Finance subit un hack estimé à 8,8 millions de dollars

Crema Finance se fait dérober 8,8 millions de dollars

Crema Finance, un protocole de finance décentralisée (DeFi) proposant des pools de liquidité hébergé sur la blockchain Solana (SOL), s'est fait dérober environ 8,8 millions de dollars ce week-end.

1) It's been a tough day. Here we would like to give a recap of the recent hacking we just suffered from and share the information that we have in hands with all our users and Solana audience with transparency.

— CremaFinance (@Crema_Finance) July 3, 2022

Peu de temps après avoir constaté l'attaque, Crema Finance a mis ses services sur pause afin de limiter les dégâts. Le hacker a utilisé une technique de flash loan (prêt instantané) pour parvenir à ses fins, un procédé malheureusement assez courant dans les hacks qui permet d'emprunter des fonds sans contrepartie.

Après une multitude d'opérations, le hacker a décidé de découper les fonds volés sur 2 portefeuilles distincts, un portefeuille Solana et un portefeuille Ethereum. À l'heure où nous écrivons ces lignes, le wallet Solana détient 69,422 SOL (environ 2,4 millions de dollars) et le wallet Ethereum environ 6,5 millions d'USDCet.

L'équipe en charge du projet a indiqué qu'elle allait suivre à la trace les mouvements des fonds dérobés avec l'aide de différentes organisations. Elle a également précisé qu'elle se tenait à disposition du hacker pour tenter de trouver un terrain d'entente dans l'espoir d'un éventuel retour des actifs.

À cet effet, Crema a directement envoyé un message on-chain au hacker, l'informant des éventuelles poursuites qui l'attendaient :

« Au pirate de Crema : Vos adresses sur Solana et Ethereum ont été mises sur liste noire et tous les regards sont tournés vers vous en ce moment. Vous avez 72h à partir de maintenant pour envisager de devenir un white hat et garder 800k $ comme prime. [...] Sinon, la police et les forces de l'ordre s'en mêleront officiellement et des recherches interminables vous attendront. Crema Finance. »

Aujourd'hui, lundi 4 juillet vers 14h, Crema Finance a annoncé via Twitter que le compte Discord utilisé par le hacker avait été retrouvé, et qu'ils continuaient leurs investigations pour tenter de dévoiler son identité.

? Pour aller plus loin : 7 bonnes pratiques pour protéger son portefeuille de cryptomonnaies d'un hack

Cryptoast Research : profitez de 50 % de réduction pour célébrer le halving !

Le déroulé des événements

Selon une analyse de l'explorateur de données on-chain SolanaFM effectuée en collaboration avec l'entreprise d'audits blockchain OtterSec, le hacker aurait débuté son action en déclenchant 6 flash loans via le protocole de lending (emprunt et prêt) Solend.

Il a ainsi, via cette manipulation, obtenu 400 000 USDH, 5,5 millions d'USDT, 10 500 mSOL, 57 000 stSOL et 840 000 PAI.

Suite à cela, l'individu a créé un « tick account », un type de compte servant à stocker les prix des actifs sur Crema Finance, ce dernier permettant à ses utilisateurs de déposer des fonds sur ses pools de liquidité sur des tranches de prix définies.

À l'aide de ce faux compte, l'attaquant a pu contourner le système de Crema Finance en gonflant artificiellement les frais de ses différents dépôts effectués avec les sommes empruntées. Plus simplement, le hacker a pu récupérer les sommes empruntées ainsi que des frais de transaction supplémentaires (fees) directement depuis les pools de liquidité.

Suite au hack, la valeur totale verrouillée (TVL) du protocole a brutalement chuté, passant de 12,55 millions à 3,88 millions de dollars.

Valeur totale verrouillée de Crema Finance sur 5 mois (USD)

Cette attaque intervient 2 semaines après que Crema Finance ait levé 5,4 millions de dollars dans le cadre d'une offre de titres dirigée par Qiming Venture Partners aux côtés d'investisseurs comme Everest Ventures Group, AGE Fund, Big Brain Holdings ou encore Summer Capital.

? À lire également : Phishing crypto - Les réseaux sociaux de la British Army se font hacker

Sources : SolanaFM, DefiLlama

Rédacteur en chef de Cryptoast, je m'emploie à démocratiser le monde des cryptomonnaies et du Web3 pour tous.

Maximilien Prué

1201 articles

Tous ses articles