Le protocole Yearn.Finance (YFI) se fait siphonner 11 millions de dollars dans l'exploitation d'une faille

En exploitant une faille du protocole de la DeFi Yearn.Finance (YFI), un individu est parvenu à siphonner 11 millions de dollars dans le coffre-fort du stablecoin DAI. Après une série de transactions et de prêts éclairs complexes, l'attaquant en tire un bénéfice de 2,8 millions de dollars.

Le protocole Yearn.Finance (YFI) se fait siphonner 11 millions de dollars dans l'exploitation d'une faille

Yearn.Finance à son tour victime d'un exploit

Hier, le 4 février, le protocole de la DeFi Yearn.Finance a été frappé par l'exploitation d'une faille, affectant l'un des pools de prêt du stablecoin DAI.

L'un des principaux développeurs de Yearn a rapidement partagé quelques détails de l'exploit sur Twitter :

« Le vault du DAI v1 de Yearn a été exploité, l'attaquant s'en est tiré avec 2,8 millions de dollars, le vault a perdu 11 millions de dollars. Les dépôts dans les stratégies sont désactivés pour les vaults DAI, TUSD, USDC, USDT pendant que nous enquêtons. »

Juste après que l'attaque ait été rendue publique, le cours du YFI a chuté de 5 500 dollars, passant de 35 000 $ à 29 650 $. Plutôt résilient face à cette situation, le YFI a rapidement rebondi et s'échange à l'heure de l'écriture de ces lignes autour de 32 500 $.

Ce faible impact sur le cours du YFI est plutôt surprenant, là où les tokens d'autres protocoles ciblés par des attaques similaires ont par le passé connu d'importantes chutes. Mais que s'est-il réellement passé ?

Encore l'affaire d'un flash loan

L'analyste Igor Igamberdiev a décomposé sur Twitter le déroulement de l'attaque, en identifiant une série de transactions de la part de l'attaquant.

Tout d'abord, un premier flash loan (ou prêt éclair) de 116 000 ETH a été exécuté sur la plateforme dYdX, suivi d'un second de 99 000 ETH sur le protocole Aave. Respectivement, ceux-ci ont été utilisés pour emprunter 134 millions d'USDC et 129 millions de DAI sur la plateforme Compound.

L'attaquant a ensuite déposé la totalité de ses USDC et 36 millions de DAI dans le pool 3CRV de Curve, afin d'en retirer 165 millions d'USDT. Une opération qu'il a répétée 5 fois.

En ce qui concerne les 93 millions DAI restants, ceux-ci ont été déposés dans l'un des vaults de Yearn, tandis que les 165 millions d'USDT sont allés dans le pool 3crv de Curve.

Igor Igamberdiev explique ensuite que les fonds ont été retirés des deux pools après que celui à l'origine de l'attaque ait reçu des tokens 3CRV. Le petit génie derrière cette série de transactions a ensuite remboursé la dette composée et le prêt éclair.

Techniquement, il ne s'agit pas d'un hack, mais uniquement d'une série de transactions bien ficelées qui exploite quelques faiblesses des protocoles. C'est d'ailleurs pour cette raison que le cours du YFI n'a pas fortement chuté suite à la nouvelle. Contacté par Cryptoast, l'expert en DeFi Token Brice souligne :

« Ce n'est pas un hack, c’est une pure attaque économique. Est-ce le système a-t-il fait quoi que ce soit qu’il n’aurait pas du faire ? Non. C’est une attaque technique si l’attaquant arrive avec 0 et repart avec 1. Là il est arrivé avec 1, il a changé des tokens et il est reparti avec 1,1 en somme. »

Stani Kulechov, le fondateur du protocole Aave, a tenu à souligner la complexité de l'attaque. Celle-ci a nécessité plus de 160 transactions sur plusieurs plateformes DeFi, pour un coût de plus de 5 000 dollars en frais de gas.

https://twitter.com/StaniKulechov/status/1357453837213331459

« C’est un très haut niveau de complexité, utilisant des flash loans. L’attaquant connaissait très bien le fonctionnement de Curve et des vaults. Son objectif était de créer du stress sur le système de calcul de prix sur l’oracle de Yearn. Il ne cherchait pas à attaquer Curve mais à perturber la vision des vaults de Yearn, afin de sortir 2 millions de $ sur la pool DAI de Yearn v1 », précise Token Brice.

L'équipe de Yearn.Finance devrait communiquer davantage de détails sur l'incident d'ici peu. Depuis l'incident, le taux d'intérêt par an du pool 3CRV sur Harvest Finance a connu une hausse considérable et atteint plus de 500 % à l'heure de l'écriture de ces lignes :

« Les pools ont reçu 1 milliard de dollars en volume et donc les frais ont explosé. Le pool de Curve n’a pas été impacté, mais a bénéficié de ces mouvements énormes et des frais générés. C’est pour ça qu’on a pu voir des APY à plusieurs milliers de % », ajoute Token Brice.

Harvest Finance 3CRV

Le pool de 3CRV à 508% d'APY sur Harvest Finance

 

Particulièrement complexe, cette attaque n'est que la dernière d'une longue série touchant les protocoles de la finance décentralisée. En décembre dernier, un hacker est parvenu à exploiter une faille du protocole Cover, ce qui lui a permis d'imprimer 40 trillions de tokens et de provoquer la chute du cours du COVER de plus de 90 %.

? Pour aller plus loin - Les attaques liées à la finance décentralisée ont explosé en 2020

La Newsletter crypto n°1 🍞

Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌

Subscribe
Me notifier des
guest
0 Commentaires
Inline Feedbacks
View all comments
Voir plus
Tout voir

Cryptoast

Le site qui explique tout de A à Z sur le Bitcoin, la blockchain et les crypto-monnaies. Des actualités et des articles explicatifs pour découvrir et progresser dans ces secteurs !


Les articles les plus lus

500 millions de $ de Bitcoin (BTC) à la décharge : James Howells porte plainte contre le conseil municipal de Newport

500 millions de $ de Bitcoin (BTC) à la décharge : James Howells porte plainte contre le conseil municipal de Newport

Un ordinateur quantique réussit à pirater des algorithmes cryptographiques – Est-ce une menace pour la blockchain ?

Un ordinateur quantique réussit à pirater des algorithmes cryptographiques – Est-ce une menace pour la blockchain ?

Les cryptomonnaies et la flat tax semblent épargnées : que contient le projet de loi finance 2025 ?

Les cryptomonnaies et la flat tax semblent épargnées : que contient le projet de loi finance 2025 ?

Binance annonce le delisting de plusieurs paires de trading : quelles cryptos sont concernées ?

Binance annonce le delisting de plusieurs paires de trading : quelles cryptos sont concernées ?