De mauvais acteurs hantent toujours DeFi : Euler et Poolz Finance exploitent les derniers exemples

L’année dernière, plus de 3.8 milliards de dollars d’actifs numériques – si l’on tient compte des cas non signalés – ont été perdus au profit de divers groupes d’acteurs malveillants profitant des failles des plateformes de contrats intelligents. Le rapport Chainalysis soulignant cette statistique alarmante a en outre souligné qu'une grande partie de cette somme était associée au créneau de la finance décentralisée (DeFi), qualifiant effectivement cet espace de foyer de frappeurs. SlowMist, une autre société de sécurité blockchain, a souligné dans son rapport annuel sur les incidents de sécurité cryptographique que 2022 a vu le plus grand nombre d’incidents de sécurité affectant les blockchains. Au total, 303 cas de compromission de la sécurité ont été signalés, soit un chiffre de 28% de plus que les années précédentes. Dans le même temps, l’estimation des pertes globales s’est élevée à environ 3.77 milliards de dollars – un écart justifiable par rapport aux autres rapports.

Les exploits DeFi ne ralentissent pas

Le rapport de SlowMist indiquait que les exploits impliquaient principalement du phishing et des tirages de tapis, tandis que les ponts entre chaînes subissaient de gros coups. Exploits sur Ronin, WormholeLes ponts , Nomad et Harmony ont entraîné des pertes dépassant 1.2 milliard de dollars. En plus des systèmes cross-chain, les attaquants ont également privilégié l'exploitation Vulnérabilités du contrat DeFi. L'industrie semblait se remettre de ce problème généralisé vers la fin de l'année.

Comparaison des pertes blockchain. Source : SlowMist

CertiK séparément observée que les 62.2 millions de dollars de vols de décembre étaient le chiffre mensuel le plus bas en 2022, l'année même où FTX Wallet et Pont de Ronin Français a perdu un total de 1.09 milliard de dollars en cryptomonnaies. 15.5 millions de dollars, soit près d'un quart du montant volé, ont été volés via des escroqueries à la sortie, tandis que les exploits de prêts flash ont enregistré des pertes de 7.6 millions de dollars. Les incidents de décembre ont été principalement causés par la perte de 15 millions de dollars d'Helio Protocol, conséquence d'un exploit de prix d'Ankr Reward Bearing Staked BNB (aBNBc). Le cabinet d'audit de contrats intelligents a également précisé que l'attaque contre les produits V1 et V2 de Defrost Finance a entraîné une perte de 12.9 millions de dollars, qui a depuis été restituée. Bitkeep a perdu 8 millions de dollars, un piratage interne a laissé Ankr à moins de 7 millions de dollars, et Lodestar a perdu 6.5 millions de dollars après un exploit du prix du jeton plvGLP de PlutusDAO, complétant ainsi le top cinq des piratages observés le mois dernier.

À la mi-mars, cette année a déjà montré des signes de dépassant la fréquence des exploits de l'année dernière et les fonds cumulés perdus à cause des pirates informatiques.

Les prêts non dépositaires Euler Finance subissent le plus gros hack de 2023

Lors d'une récente démonstration de ces actes troublants, un ou plusieurs attaquants ont siphonné près de 200 millions de dollars d'actifs cryptographiques du protocole de prêt Euler Finance le 13 mars dans un cas confirmé depuis d'attaque de prêt flash. CertiK Alerts, la page de suivi des hacks et des escroqueries associée à CertiK, a été parmi les premières à rapport les développements, même si environ 41 millions de dollars avaient été retirés à l'époque. La page d'alerte a ensuite mis à jour que l'attaquant avait vidé le protocole de pièces stables décentralisées et de jetons synthétiques ERC-20 d'une valeur d'environ 198 millions de dollars en plusieurs transactions, dont 96,800 43.6 ETH et XNUMX millions de DAI, ce qui en fait le plus grand exploit DeFi jusqu'à présent cette année.

Le ou les acteurs ont envoyé les actifs volés vers deux portefeuilles – l'un contenant 34,186,225 88,752 88,77,507 DAI et XNUMX XNUMX ETH et l'autre environ XNUMX XNUMX XNUMX jetons DAI, en chaîne. données, montre. Le protocole basé sur Ethereum a déclaré avoir fait appel à des équipes de sécurité de la blockchain, notamment TRM Labs, Chainalysis et d'autres organismes chargés de l'application de la loi, pour aider à résoudre le problème. PeckShield, qui a informé Euler de la fuite, a partagé dans une autre brève note qu'il avait identifié la cause. L'attaquant a spécifiquement exploité un bug lors de l'exécution d'une fonction 'donateToReservers ()' pour se liquider du protocole, rembourser le prêt et simultanément réaliser une mise à mort.

Euler s'attaque à la vulnérabilité et s'efforce de récupérer les fonds de pierre

Les efforts de collaboration ont finalement réussi à arrêter l'exploit en désactivant le module vulnérable et en bloquant par conséquent les dépôts, mais les dégâts se sont étendus à plus d'une douzaine d'autres protocoles. Balancier révélé que l'incident a affecté le pool Boosted USD (bbe-USD) d'Euler Finance – près des deux tiers de sa valeur totale bloquée avaient été siphonnés lorsque la résolution visant à le suspendre a été exécutée. Protocole Angle également mis à ses adeptes sont exposés à l'exploit car son module de base a alloué des fonds dans Euler, Compound et Aave.

"Si les fonds issus du piratage (17,614,940.03 18.4 17,614,940.03 USDC) devaient être définitivement perdus, la TVL du module Core tomberait à environ 18.4 millions de dollars. Si les fonds issus du piratage (XNUMX XNUMX XNUMX USDC) devaient être définitivement perdus, la TVL du module Core tomberait à environ XNUMX millions de dollars. Dans ce cas, le montant des réserves dans le module Core deviendrait inférieur à la valeur des créances des détenteurs d'agEUR, des Standard Liquidity Providers et des autres agents de couverture du protocole, dans leur ensemble.

Yearn Finance aurait également perdu des fonds à cause du piratage. Sherlock, une équipe d'audit ayant des liens passés avec Euler, a vérifié la cause de l'exploit. Dans ses rapports, l’équipe a critiqué un audit mené par un autre groupe WatchPug en juillet 2022 pour échec à identifier la vulnérabilité. Pour les prochaines étapes de relance, l'équipe du protocole de prêt présenté Une sorte d'offre faite au(x) pirate(s), promettant une prime si les auteurs ne répondaient pas. La récompense d'un million de dollars a depuis été annoncée publiquement.

"La Fondation Euler lance une récompense d'un million de dollars dans l'espoir que cela fournira une incitation supplémentaire pour les informations conduisant à l'arrestation de l'attaquant du protocole Euler et à la restitution de tous les fonds extraits par l'attaquant." Euler a posté aujourd'hui.

La plateforme de visualisation et d'analyse de la blockchain Meta Sleuth a exprimé son avis dans un Tweet que l'attaque est liée à une attaque précédente au cours de laquelle l'attaquant a transféré des fonds de la BNB Smart Chain (BSC) vers Ethereum à l'aide d'un pont multichaîne.

Il semble que deux attaquants aient lancé six transactions. L'attaquant 6x0f5 a lancé la première attaque, générant un profit d'environ 25 millions de DAI. Tous les profits sont conservés dans le contrat d'exploitation 8.8xebc0. Le financement initial provient de FixedFloat et de l'exploitant de jetons de déflation 2 sur la BSC. L'attaquant 6xb0 a lancé les cinq autres attaques, pour un profit total d'environ 269 millions de dollars américains. Tous les profits sont désormais conservés dans deux adresses : 186xb0 détient 269 8,080 ETH, 0xb66cd détient 88,752 34 ETH et environ XNUMX millions de DAI. Le financement initial de cet attaquant provient de Tornado Cash. le compte théorisé.

L'hypothèse a été approuvée par un autre compte ZachXBT. Les portefeuilles et adresses connectés aux exploits sont 0xebc291[…] cbf99 détenant environ 8,877,507 0 269 DAI, 4xb8,080.97[…] cedd0 dont l'instantané montrait un solde de 66 995 ETH et 88,753xb34,186,226c […]XNUMXdb qui détenait environ. XNUMX XNUMX ETH et XNUMX XNUMX XNUMX DAI.

La plateforme de financement participatif de projets Web3 Poolz Finance exploitée

A peine deux jours après l'incident d'Euler, un autre hacker a volé 390,000 3 $ provenant de la rampe de lancement de financement participatif inter-chaînes axée sur le Web15 Poolz Finance sur la chaîne intelligente Polygon et Binance. Un XNUMX mars évaluation de PeckShield a expliqué que l'activité suspecte dans le contrat intelligent d'acquisition de jetons indiquait qu'un « problème de débordement arithmétique classique » en était la cause. Poolz a partagé un Mise à jour Suite à l'incident, l'équipe de développement de Launchpad a conseillé aux utilisateurs de cesser d'échanger des jetons POOLZ. En plus de signaler l'adresse en question, elle a également supprimé les liquidités de Pancakeswap et d'Uniswap.

Le PDG de Poolz Finance, Guy Oren, a confirmé dans un tweet les efforts en cours pour lancer un nouveau contrat de jetons tout en prévoyant que les échanges soient mis en ligne avant la fin de la journée. Notamment, les deux incidents surviennent à peine un mois après que Platypus, un autre protocole DeFi, a été exploité à hauteur de 8.5 millions de dollars, ce qui a entraîné une brève dissociation de son offre de stablecoin USP par rapport au dollar américain. Dans le cas de Platypus, les acteurs ont profité d’une faille dans le contrôle de solvabilité de l’USP pour vider le protocole. La semaine dernière, Hedera a révélé avoir rencontré des problèmes techniques masquant une perte de jetons de pools de liquidité lorsqu'un pirate informatique a exploité le code du contrat intelligent du réseau principal.

Hedera et Dogecoin : dernier exemple de vulnérabilités dans les blockchains

La valeur totale verrouillée (TVL) d'Hedera a chuté vers la fin de la semaine dernière après que le réseau a été confronté à des difficultés techniques liées, selon certains, à une exploitation d'un contrat intelligent. Les données de DeFi Llama montrent que la TVL de la plateforme a fortement chuté en moins de 24 heures suite à des rapports faisant état d'irrégularités techniques affectant plusieurs applications décentralisées.

Graphique Hedera TVL. Source : DeFi Lama

La Fondation HBAR, une organisation à but non lucratif qui soutient le projet Hedera, a déclaré que le réseau était inscrit avec des anomalies de contrats intelligents affectant les applications décentralisées.

Les protocoles sur Hedera incitent les utilisateurs à la prudence

Les irrégularités techniques du 10 mars étaient décrit par certains comme une attaque contre le réseau d’entreprise, qui a laissé les protocoles se précipiter pour des raisons de sécurité. SaucerSwap Labs, une bourse décentralisée (DEX) opérant sur Hedera, a exhorté ses utilisateurs à retirer immédiatement leurs liquidités en raison de l'exploit présumé survenu sur le réseau. Le protocole plus tard confirmé qu'il n'a pas été affecté par le piratage en question. L'exploit ciblait spécifiquement le processus de décompilation des contrats intelligents Hedera, responsable de la transformation du bytecode du contrat en un code plus compréhensible, similaire à celui de Solidity. Il est utile pour étudier et comprendre le fonctionnement d'un contrat intelligent.

Néanmoins, des acteurs malveillants peuvent également manipuler ce processus pour obtenir un accès non autorisé au contrat intelligent, même si les éléments spécifiques que l'attaquant est censé cibler dans ce cas ne sont pas entièrement compris. De plus, Hashport dit il suspendait temporairement ses services de transition en raison d'irrégularités dans les contrats intelligents, prenant cette mesure pour sauvegarder la sécurité des fonds des utilisateurs. Pangolin DEX multichaîne exhorté les utilisateurs peuvent quitter tous les jetons HTS dans les pools et fermes Pangolin. Hedera a décidé de travailler avec les parties de l'écosystème pour déterminer l'impact potentiel de l'anomalie. Pour assurer davantage la sécurité de ses utilisateurs, Hedera handicapé proxys de réseau sur le réseau principal pendant que l'équipe principale explorait les irrégularités des contrats intelligents, rétablissant une fois les problèmes résolus. Il a confirmé que cette décision n'affectait pas le consensus et que le réseau principal restait en ligne.

Pour en savoir plus sur Hedera, consultez notre Investir dans Hedera guider.

Les rapports mettent en évidence les faiblesses de la scène DeFi

Un récent rapport de la société de sécurité blockchain Halborn a révélé que pas moins de 280 chaînes, dont Dogecoin, fonctionnaient tout en présentant une vulnérabilité critique. Dans un rapport du 13 mars, la société garde qu'il avait identifié la vulnérabilité lors d'une précédente évaluation de la base de code open source du réseau Dogecoin en 2022. Le projet meme coin a déclaré avoir résolu le problème potentiel de déclenchement du jour zéro dans sa version Core 1.14.5 après avoir reçu un conseil. de Halborn, dont elle a acquis les services en mars dernier, pour revoir sa base de code.

L'entreprise a identifié une autre faille dans l'exécution du code RPC (Remote Procedure Call) affectant les mineurs individuels sur Dogecoin. Les développeurs du réseau ont depuis exhorté les utilisateurs à mettre à jour leur système vers la version 1.14.6. Halborn a indiqué que Litecoin et Zcash étaient des réseaux importants affectés par d'autres variantes du bug corrigé, que des fraudeurs et des exploiteurs auraient pu exploiter pour exécuter des menaces plus graves. Les deux projets ont également collaboré avec l'entreprise de sécurité pour corriger les principales vulnérabilités.

Pour en savoir plus sur ces projets, visitez notre Investir dans Dogecoin et Investir dans Zcash  guides.