Le protocole Yearn.Finance (YFI) se fait siphonner 11 millions de dollars dans l'exploitation d'une faille
En exploitant une faille du protocole de la DeFi Yearn.Finance (YFI), un individu est parvenu à siphonner 11 millions de dollars dans le coffre-fort du stablecoin DAI. Après une série de transactions et de prêts éclairs complexes, l'attaquant en tire un bénéfice de 2,8 millions de dollars.
Yearn.Finance à son tour victime d'un exploit
Hier, le 4 février, le protocole de la DeFi Yearn.Finance a été frappé par l'exploitation d'une faille, affectant l'un des pools de prêt du stablecoin DAI.
L'un des principaux développeurs de Yearn a rapidement partagé quelques détails de l'exploit sur Twitter :
« Le vault du DAI v1 de Yearn a été exploité, l'attaquant s'en est tiré avec 2,8 millions de dollars, le vault a perdu 11 millions de dollars. Les dépôts dans les stratégies sont désactivés pour les vaults DAI, TUSD, USDC, USDT pendant que nous enquêtons. »
Yearn DAI v1 vault got exploited, the attacker got away with $2.8m, the vault lost $11m. Deposits into strategies disabled for v1 DAI, TUSD, USDC, USDT vaults while we investigate. pic.twitter.com/1RWYyu0d5m
— banteg (@bantg) February 4, 2021
Juste après que l'attaque ait été rendue publique, le cours du YFI a chuté de 5 500 dollars, passant de 35 000 $ à 29 650 $. Plutôt résilient face à cette situation, le YFI a rapidement rebondi et s'échange à l'heure de l'écriture de ces lignes autour de 32 500 $.
Ce faible impact sur le cours du YFI est plutôt surprenant, là où les tokens d'autres protocoles ciblés par des attaques similaires ont par le passé connu d'importantes chutes. Mais que s'est-il réellement passé ?
Encore l'affaire d'un flash loan
L'analyste Igor Igamberdiev a décomposé sur Twitter le déroulement de l'attaque, en identifiant une série de transactions de la part de l'attaquant.
Tout d'abord, un premier flash loan (ou prêt éclair) de 116 000 ETH a été exécuté sur la plateforme dYdX, suivi d'un second de 99 000 ETH sur le protocole Aave. Respectivement, ceux-ci ont été utilisés pour emprunter 134 millions d'USDC et 129 millions de DAI sur la plateforme Compound.
L'attaquant a ensuite déposé la totalité de ses USDC et 36 millions de DAI dans le pool 3CRV de Curve, afin d'en retirer 165 millions d'USDT. Une opération qu'il a répétée 5 fois.
En ce qui concerne les 93 millions DAI restants, ceux-ci ont été déposés dans l'un des vaults de Yearn, tandis que les 165 millions d'USDT sont allés dans le pool 3crv de Curve.
Igor Igamberdiev explique ensuite que les fonds ont été retirés des deux pools après que celui à l'origine de l'attaque ait reçu des tokens 3CRV. Le petit génie derrière cette série de transactions a ensuite remboursé la dette composée et le prêt éclair.
Techniquement, il ne s'agit pas d'un hack, mais uniquement d'une série de transactions bien ficelées qui exploite quelques faiblesses des protocoles. C'est d'ailleurs pour cette raison que le cours du YFI n'a pas fortement chuté suite à la nouvelle. Contacté par Cryptoast, l'expert en DeFi Token Brice souligne :
« Ce n'est pas un hack, c’est une pure attaque économique. Est-ce le système a-t-il fait quoi que ce soit qu’il n’aurait pas du faire ? Non. C’est une attaque technique si l’attaquant arrive avec 0 et repart avec 1. Là il est arrivé avec 1, il a changé des tokens et il est reparti avec 1,1 en somme. »
Stani Kulechov, le fondateur du protocole Aave, a tenu à souligner la complexité de l'attaque. Celle-ci a nécessité plus de 160 transactions sur plusieurs plateformes DeFi, pour un coût de plus de 5 000 dollars en frais de gas.
https://twitter.com/StaniKulechov/status/1357453837213331459
« C’est un très haut niveau de complexité, utilisant des flash loans. L’attaquant connaissait très bien le fonctionnement de Curve et des vaults. Son objectif était de créer du stress sur le système de calcul de prix sur l’oracle de Yearn. Il ne cherchait pas à attaquer Curve mais à perturber la vision des vaults de Yearn, afin de sortir 2 millions de $ sur la pool DAI de Yearn v1 », précise Token Brice.
L'équipe de Yearn.Finance devrait communiquer davantage de détails sur l'incident d'ici peu. Depuis l'incident, le taux d'intérêt par an du pool 3CRV sur Harvest Finance a connu une hausse considérable et atteint plus de 500 % à l'heure de l'écriture de ces lignes :
« Les pools ont reçu 1 milliard de dollars en volume et donc les frais ont explosé. Le pool de Curve n’a pas été impacté, mais a bénéficié de ces mouvements énormes et des frais générés. C’est pour ça qu’on a pu voir des APY à plusieurs milliers de % », ajoute Token Brice.
Le pool de 3CRV à 508% d'APY sur Harvest Finance
Particulièrement complexe, cette attaque n'est que la dernière d'une longue série touchant les protocoles de la finance décentralisée. En décembre dernier, un hacker est parvenu à exploiter une faille du protocole Cover, ce qui lui a permis d'imprimer 40 trillions de tokens et de provoquer la chute du cours du COVER de plus de 90 %.
? Pour aller plus loin - Les attaques liées à la finance décentralisée ont explosé en 2020
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌