Se connecter S'abonner

DEFI – Le hack spectaculaire de Yearn Finance

Le hack spectaculaire de Yearn Finance : 11,1 millions de DAI siphonnés en un temps record et 24 millions de DAI sauvés grâce à l’ingéniosité de toute l’équipe de Yearn.

Jeudi dernier Yearn Finance s’est fait siphonner 11 millions de DAI sur son coffre-fort V1 … le hacker a gagné 2,8 millions de Dai, en a brûlé 11,1 millions, et l’équipe a pu sauvegarder les 24 millions restants.

Retour sur les minutes du hack

  • dès jeudi après-midi, l’équipe de sécurité voit une étrange transaction être minée 
  • les utilisateurs de Yearn commencent à voir et signaler des pertes dont ils s’étonnent sur Discord et Telegram
  • 16h38, Jeffrey Bongos envoie un message sur Discord : “Quelqu’un sait-il pourquoi le coffre-fort de v1Dai montre que j’ai perdu des milliers de DAI au cours des dernières minutes ? »
  • 17h passées, le front office du coffre-fort v1 de DAI affiche une perte de 1 059 % sur le site web de Yearn
  • 17h14 (minuit 14 heure française), Banteg, un des développeurs de l’équipe de Yearn, poste dans Discord : “L’attaquant s’est échappé avec 2,8m, le coffre-fort DAI  a perdu 11,1m.”

Retour sur les stratagèmes techniques employées

Sur son compte Twitter officiel, ce protocole de Yield Farming explique que tout a commencé à partir de l’une des pools de prêts qu’il utilisait. C’est une combinaison de facteurs qui a permis à l’attaque d’être suffisamment rentable pour être tentée et réalisée avec succès.

L’attaque a visé le coffre-fort DAI v1 de Yearn, qui venait d’effectuer le mois dernier une nouvelle mise à jour de sa stratégie d’investissement sur les pools et les wallet. Une stratégie épaulée grâce à des frais de retrait désactivés, afin d’encourager les migrations vers les chambres fortes v2.

De façon opérationnelle, la nouvelle stratégie du DAI v1 était de déposer tous les fonds dans le “3pool” du protocole Curve, le plus connu des teneurs de marché automatisés (AMM). En effet, comme le 3pool de Curve contient des DAI, des USDT et des USDC, cela permet aux utilisateurs d’échanger n’importe quel stablecoin contre un autre stablecoin avec un très faible slippage. (slippage : la différence entre le prix attendu d’une transaction et le prix auquel la transaction est exécutée)

Michael Egorov, PDG de Curve, explique en détails comment s’est passée l’intrusion et le siphonnage : « Pour faire simple, quelqu’un a déposé un paquet [de DAI] sur Curve 3pool afin de manipuler le prix du DAI donné par le pool”. 

En effet, ce trop plein de DAI a créé un déséquilibre désavantageux qui a entraîné à la baisse la valeur du DAI, dans les flashloan de ce pool.

Automatiquement , le coffre-fort s’est appuyé sur le nouveau prix du DAI. Puis il a effectué le dépôt de yDAI avec ce taux de change défavorable. Ce qui permet alors d’inverser le déséquilibre créé de toute pièce à l’étape 1.

Ces processus d’investissements stratégiques non rentables sur des flashloan Aave et dYdX étaient effectués sans frais (0%) mais chargés au slippage (0,5 %) ce qui les rendait gagnants !

C’est pourquoi ces transactions ont été répétées 11 fois avant d’avoir pu être stoppées 38 mn plus tard et 11 ,1 millions de Dai cramés, grâce à la réactivité de l’équipe.

Les étapes du hack analysées par PeckShield.

Conclusion

Malheureusement, ce type de problème n’est pas nouveau, bien au contraire, ce sont des problèmes bien connus (cf: The DAO) que l’on pourrait voir arriver chez n’importe quelle autre Dapp ou protocole de la DEFI et du Yield Farming, ou dans n’importe quel cas de mise à jour de smart contracts.

C’est d’autant plus dommage que Yearn Finance -l’un des acteurs majeurs de la DeFi- est connu pour avoir toujours permis aux déposants de récupérer leur rendement sur tous leurs tokens et coins déposés initialement. 

Sans surprise, le token de Yearn YFI a chuté, et juste après que l’attaque n’ait été rendue publique, UniWales a annoncé sur son compte Twitter qu’il vendait ses YFI pour des ETH.

Mais Yearn Finance n’a pas dit son dernier mot car dès vendredi l’équipe avait analysé ces failles et avait publié les détails de cette intrusion sur son github iearn-finance/yearn-security.

N’hésitez à consulter leur page Divulgation des vulnérabilités

Plus d’actions
Partagez

Passionnée d’innovations et blockchains, j’espère arriver à vous partager ma fascination pour ces changements qui se dérouler devant nos yeux !

DISCLAIMER
Les propos et opinions exprimés dans cet article n'engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d'investissement.
Back To Top

Newsletter

Recevez le meilleur de l’actualité Crypto dans votre boite email

Inscription Newsletter

Archives

Lire les dernières Newsletters
Cliquez ici

Coaching Gratuit

Obtenez gratuitement un coaching
d'une heure avec un expert
Remplissez le formulaire
et notre expert vous contactera 
sous 24 heures

© Copyright Cointribune - tous droits réservés

Agence Tempo