Les acteurs malveillants continuent de hanter la DeFi : les exploits d’Euler et de Poolz Finance, derniers exemples

Plus de 3,8 milliards de dollars d’actifs numériques – en tenant compte des cas non déclarés – ont été perdus au profit de divers groupes d’acteurs malveillants exploitant des failles dans les plateformes de contrats intelligents l’an dernier. Le rapport Chainalysis mettant en avant cette statistique alarmante a en outre souligné qu’une grande partie de cette somme était liée au secteur de la finance décentralisée (DeFi), qualifiant ainsi cet espace de véritable nid à fraudeurs. SlowMist, une autre société de sécurité blockchain, a indiqué dans son rapport annuel sur les incidents de sécurité crypto que 2022 avait enregistré le plus grand nombre d’incidents affectant les blockchains. Un total de 303 cas de compromission de sécurité a été signalé, soit 28 % de plus que les années précédentes. Par ailleurs, l’estimation des pertes agrégées s’élève à environ 3,77 milliards de dollars – une divergence justifiable par rapport à d’autres rapports.

Les exploits DeFi ne ralentissent pas

Le rapport de SlowMist indiquait que les exploits concernaient principalement le phishing et les rug pulls, tandis que les ponts inter‑chaînes subissaient de lourdes attaques. Les exploits sur les ponts Ronin, Wormhole, Nomad et Harmony ont entraîné des pertes dépassant 1,2 milliard de dollars. En plus des systèmes inter‑chaînes, les attaquants ont également privilégié l’exploitation des vulnérabilités des contrats DeFi. L’industrie semblait se remettre du problème endémique vers la fin de l’année.

Comparaison des pertes sur les blockchains. Source: SlowMist

CertiK a observé que les vols de 62,2 millions de dollars en décembre constituaient le chiffre mensuel le plus bas de 2022, l’année même où le portefeuille FTX et le Ronin Bridge ont perdu au total 1,09 milliard de dollars en crypto. 15,5 millions de dollars, soit près d’un quart du total des vols de crypto, ont été dérobés via des escroqueries de sortie, tandis que les exploits de prêts flash ont engendré des pertes de 7,6 millions de dollars. Les incidents de décembre ont été dominés par la perte de 15 millions de dollars du Helio Protocol, conséquence d’un effet en chaîne lié à l’exploitation du prix d’Ankr Reward Bearing Staked BNB (aBNBc). La société d’audit de contrats intelligents a également détaillé que l’attaque contre les produits V1 et V2 de Defrost Finance avait entraîné une perte de 12,9 millions de dollars, qui a depuis été restituée. Bitkeep a perdu 8 millions de dollars, une fraude interne a laissé Ankr à court de 7 millions de dollars, et Lodestar a perdu 6,5 millions de dollars après un exploit du prix du token plvGLP de PlutusDAO, complétant ainsi les cinq plus gros hacks observés le mois précédent.

À mi‑mars, cette année montre déjà des signes de dépasser la fréquence des exploits de l’an dernier et des fonds cumulés perdus au profit des hackers.

Prêt non dépositaire : Euler Finance subit le plus gros piratage de 2023

Dans une récente démonstration de ces agissements inquiétants, un ou plusieurs attaquants ont siphonné près de 200 millions de dollars d’actifs crypto du protocole de prêt Euler Finance le 13 mars, dans un cas d’attaque par prêt flash depuis confirmé. CertiK Alerts, la page de suivi des hacks et arnaques associée à CertiK, a été parmi les premières à rapporter les développements, bien que près de 41 millions de dollars aient été détournés à ce moment‑là. La page d’alerte a ensuite indiqué que l’attaquant avait vidé le protocole de stablecoins décentralisés et de tokens ERC‑20 synthétiques d’une valeur d’environ 198 millions de dollars en plusieurs transactions, incluant 96 800 ETH et 43,6 millions de DAI, faisant de cet incident le plus grand exploit DeFi de l’année jusqu’à présent.

Les acteurs ont envoyé les actifs volés vers deux portefeuilles – l’un détenant 34 186 225 DAI et 88 752 ETH, et l’autre environ 88 77 507 tokens DAI, comme le montrent les données en chaîne. Le protocole basé sur Ethereum a déclaré avoir fait appel à des équipes de sécurité blockchain, dont TRM Labs, Chainalysis et d’autres agences d’application de la loi, pour aider à résoudre le problème. PeckShield, qui a alerté Euler du drain, a partagé dans une autre brève note qu’il avait identifié la cause. L’attaquant a spécifiquement exploité un bug lors de l’exécution de la fonction ‘donateToReservers ()’ pour se liquider du protocole, rembourser le prêt et réaliser simultanément un gain substantiel.

Euler traite la vulnérabilité, travaille à récupérer les fonds volés

Les efforts collaboratifs ont finalement permis d’arrêter l’exploit en désactivant le module vulnérable et en bloquant ainsi les dépôts, mais les dommages se sont étendus à plus d’une douzaine d’autres protocoles. Balancer a révélé que l’incident avait affecté le pool Boosted USD (bbe‑USD) d’Euler Finance – près des deux tiers de sa valeur totale verrouillée ont été siphonnés lorsque la décision de le mettre en pause a été exécutée. Angle Protocol a mis à jour ses abonnés sur l’exposition à l’exploit, son module central ayant alloué des fonds dans Euler, Compound et Aave.

“Si les fonds du piratage (17 614 940,03 USDC) étaient définitivement perdus, la TVL du module Core serait réduite à environ 18,4 M $. Si les fonds du piratage (17 614 940,03 USDC) étaient définitivement perdus, la TVL du module Core serait réduite à environ 18,4 M $. Dans ce cas, le montant des réserves du module Core deviendrait inférieur à la valeur des réclamations des détenteurs d’agEUR, des fournisseurs de liquidité standard et des agents de couverture restants dans le protocole, dans son ensemble.”

Yearn Finance aurait également perdu des fonds lors du piratage. Sherlock, une équipe d’audit ayant des liens antérieurs avec Euler, a vérifié la cause de l’exploit. Dans ses rapports, l’équipe a reproché un audit réalisé par un autre groupe, WatchPug, en juillet 2022 pour ne pas avoir identifié la vulnérabilité. Pour les prochaines étapes de récupération, l’équipe du protocole de prêt a présenté une sorte d’offre aux hackers, promettant de mettre une prime en jeu si les auteurs ne répondaient pas. La récompense annoncée de 1 million de dollars a depuis été rendue publique.

« Euler Foundation lance une prime de 1 M $ dans l’espoir que cela fournisse une incitation supplémentaire pour obtenir des informations menant à l’arrestation de l’attaquant du protocole Euler et au retour de tous les fonds extraits par l’attaquant », a publié Euler aujourd’hui.

La plateforme de visualisation et d’analyse blockchain Meta Sleuth a exprimé dans un tweet que l’attaque était liée à une attaque précédente où l’attaquant a transféré des fonds de la BNB Smart Chain (BSC) vers Ethereum en utilisant un pont multichaîne.

« Il semble que deux attaquants ont lancé 6 transactions d’attaque. L’attaquant 0x5f25 a lancé la première attaque, réalisant un profit d’environ 8,8 M DAI. Tous les profits restent dans le contrat d’exploit 0xebc2. Le financement initial provient de FixedFloat et de l’exploiteur de token déflationnaire 6 sur BSC. L’attaquant 0xb269 a lancé les cinq autres attaques, et le profit total est d’environ 186 M USD. Maintenant, tous les profits restent dans deux adresses. 0xb269 détient 8 080 ETH, 0xb66cd détient 88 752 ETH et environ 34 M DAI. Le financement initial de cet attaquant provient de Tornado Cash, a théorisé le compte.

La postulation a été approuvée par un autre compte, ZachXBT. Les portefeuilles et adresses liés aux exploits sont 0xebc291[…] cbf99 détenant environ 8 877 507 DAI, 0xb269[…] cedd4 dont la capture d’écran montrait un solde de 8 080,97 ETH, et 0xb66c […]995db qui détenait approximativement 88 753 ETH & 34 186 226 DAI.

Plateforme de financement participatif Web3 Poolz Finance exploitée

À peine deux jours après l’incident Euler, un autre hacker a volé 390 000 $ du lanceur de financement participatif Web3 inter‑chaînes Poolz Finance sur Polygon et Binance Smart Chain. Une revue du 15 mars de PeckShield a détaillé que l’activité suspecte dans le contrat intelligent de vesting du token indiquait un « problème classique de dépassement arithmétique » comme cause. Poolz a partagé une mise à jour sur l’incident, conseillant aux utilisateurs d’arrêter de trader le token POOLZ. En plus de signaler l’adresse en question, l’équipe de développement du lanceur a également retiré la liquidité de Pancakeswap et Uniswap.

Le PDG de Poolz Finance, Guy Oren, a confirmé dans un tweet les efforts en cours pour lancer un nouveau contrat de tokens tout en prévoyant que le trading serait actif avant la fin de la journée. Il est notable que ces deux incidents surviennent à peine un mois après que Platypus, un autre protocole DeFi, a été exploité à hauteur de 8,5 millions de dollars, entraînant une brève perte de la parité de son stablecoin USP par rapport au dollar. Dans le cas de Platypus, les acteurs ont profité d’une faille dans le contrôle de solvabilité USP pour vider le protocole. La semaine dernière, Hedera a révélé qu’elle avait rencontré des problèmes techniques masquant une perte de tokens des pools de liquidité lorsqu’un hacker a exploité le code du contrat intelligent du mainnet.

Hedera et Dogecoin : derniers exemples de vulnérabilités dans les blockchains

La valeur totale verrouillée (TVL) d’Hedera a chuté vers la fin de la semaine dernière après que le réseau a été frappé par des difficultés techniques que certains ont théorisées comme impliquant un exploit de contrat intelligent. Les données de DeFi Llama montrent que le TVL de la plateforme a fortement baissé en moins de 24 heures suite aux rapports indiquant que la chaîne subissait des irrégularités techniques affectant plusieurs applications décentralisées.

Graphique TVL d’Hedera. Source: DeFi Llama

La Fondation HBAR, une organisation à but non lucratif soutenant le projet Hedera, a déclaré que le réseau était enregistré avec des anomalies de contrats intelligents affectant les applications décentralisées.

Les protocoles sur Hedera exhortent les utilisateurs à la prudence

Les irrégularités techniques du 10 mars ont été décrites par certains comme une attaque contre le réseau de niveau entreprise, ce qui a poussé les protocoles qui y résident à chercher la sécurité. SaucerSwap Labs, une bourse décentralisée (DEX) fonctionnant sur Hedera, a exhorté ses utilisateurs à retirer immédiatement leur liquidité en raison de l’exploit présumé sur le réseau. Le protocole a ensuite confirmé qu’il n’était pas affecté par ledit hack. L’exploit ciblait spécifiquement le processus de décompilation des contrats intelligents Hedera, responsable de la transformation du bytecode du contrat en un code plus compréhensible de type Solidity. Cela est utile pour étudier et comprendre le fonctionnement d’un contrat intelligent.

Néanmoins, les acteurs malveillants peuvent également manipuler ce processus pour obtenir un accès non autorisé au contrat intelligent, bien que les éléments spécifiques ciblés par l’attaquant dans ce cas ne soient pas entièrement compris. De plus, Hashport a déclaré suspendre temporairement ses services de pontage en raison des irrégularités des contrats intelligents, prenant cette mesure pour protéger les fonds des utilisateurs. Le DEX multichaîne Pangolin a exhorté les utilisateurs à retirer tout token HTS des pools et fermes Pangolin. Hedera a décidé de travailler avec les parties de l’écosystème pour déterminer l’impact potentiel de l’anomalie. Pour garantir davantage la sécurité de ses utilisateurs, Hedera a désactivé les proxys réseau sur le mainnet tandis que l’équipe centrale examinait les irrégularités des contrats intelligents, les réactivant après résolution des problèmes. Elle a confirmé que cette mesure n’affectait pas le consensus et que le mainnet reste en ligne.

Pour en savoir plus sur Hedera, consultez notre guide Investir dans Hedera.

Les rapports soulignent les faiblesses de la scène DeFi

Un rapport récent de la société de sécurité blockchain Halborn a révélé que jusqu’à 280 chaînes, dont Dogecoin, fonctionnaient tout en présentant une vulnérabilité critique. Dans un rapport du 13 mars, la société a averti qu’elle avait identifié la vulnérabilité lors d’une évaluation antérieure du code source ouvert du réseau Dogecoin en 2022. Le projet de meme‑coin a indiqué qu’il avait résolu le problème potentiel de zero‑day dans sa version Core 1.14.5 après avoir reçu un signalement de Halborn, dont il a acquis les services en mars dernier, pour examiner son code source.

La société a identifié une autre faille dans l’exécution de code à distance RPC (Remote Procedure Call) affectant les mineurs individuels sur Dogecoin. Les développeurs du réseau ont depuis exhorté les utilisateurs à mettre à jour vers le nœud 1.14.6. Halborn a indiqué que Litecoin et Zcash étaient des réseaux notables affectés par d’autres variantes du bug corrigé, que les fraudeurs et exploiteurs auraient pu exploiter pour lancer des menaces plus graves. Les deux projets, également, ont collaboré avec la société de sécurité pour résoudre les vulnérabilités majeures.

Pour en savoir plus sur ces projets, consultez nos guides Investir dans Dogecoin et Investir dans Zcash.