La réentrance, les attaques d’oracle de prix et les exploits sur sept protocoles ont fait perdre au moins 21 millions de dollars de crypto en février à l’espace de la finance décentralisée (DeFi).
Selon à la plate-forme d’analyse de données DeFi DefiLlama, l’une des plus importantes du mois a été l’attaque de réentrée de prêt flash sur Platypus Finance, qui a entraîné une perte de fonds de 8,5 millions de dollars.
DefiLlama a mis en évidence six autres hacks remarquables au cours du mois, le premier étant l’attaque de l’oracle des prix contre BonqDAO le 1er février.
BonqDAO : 1,7 million de dollars
BonqDAO a révélé à ses abonnés dans un article du 1er février que son protocole Bonq avait été exposé à une attaque oracle qui permettait à l’exploiteur de manipuler le prix du jeton AllianceBlock (ALBT).
L’exploiteur a augmenté le prix de l’ALBT et a frappé de grandes quantités de Bonq Euro (BEUR). Le BEUR a ensuite été échangé contre d’autres jetons sur Uniswap. Ensuite, le prix est tombé à presque zéro, ce qui a déclenché la liquidation d’ALBT.
La société de sécurité Blockchain PeckShield a estimé les pertes à environ 120 millions de dollars ; cependant, il a été révélé plus tard que les pirates n’auraient encaissé qu’environ 1 million de dollars en raison d’un manque de liquidités sur BonqDAO.
Protocole Orion : 3 millions de dollars
Juste un jour plus tard, le 2 février, l’échange décentralisé Orion Protocol a subi un perte d’environ 3 millions de dollars via une attaque de réentrance, où les attaquants ont utilisé un contrat intelligent malveillant pour drainer des fonds d’une cible avec des ordres de retrait répétés.
Nous enquêtons sur cette attaque très sophistiquée depuis les minutes où elle s’est produite. Nous ne rouvrirons pas la fonction de dépôt tant que nous ne serons pas sûrs que le bogue a été corrigé, ce qui ne le sera qu’après avoir passé avec succès de nouveaux audits de grands cabinets d’audit.
— Alexeï Koloskov (@alexeykoloskov) 2 février 2023
Le PDG d’Orion Protocol, Alexey Koloskov, a confirmé l’attaque à l’époque, assurant à tous que « tous les fonds des utilisateurs sont sûrs et sécurisés ».
« Nous avons des raisons de croire que le problème n’était pas le résultat de lacunes dans notre code de protocole principal, mais pourrait plutôt avoir été causé par une vulnérabilité dans le mélange de bibliothèques tierces dans l’un des contrats intelligents utilisés par nos courtiers expérimentaux et privés. , » il a dit.
Réseau dForce : 3,65 millions de dollars
Le réseau dForce du protocole DeFi a été une autre victime en février d’une attaque de réentrance entraînant des pertes d’environ 3,65 millions de dollars.
Dans un 10 février poste, dForce a confirmé l’exploit ; cependant, dans une torsion, tous les fonds ont été restitués lorsque le pirate informatique s’est présenté comme un pirate informatique.
2/5 Peu de temps après l’incident, nous avons entamé des conversations avec l’exploiteur, qui s’est présenté comme un whitehat. Nous avons accepté d’offrir une prime et abandonnerons toutes les enquêtes en cours et les mesures d’application de la loi.
— dForce (@dForcenet) 13 février 2023
« Le 13 février 2023, les fonds exploités ont été intégralement restitués à notre multi-sig sur Arbitrum et Optimism, une fin parfaite pour tous », a déclaré dForce.
Platypus Finance : 9,1 millions de dollars
Le 16 février, le protocole DeFi Platypus Finance a subi une attaque de prêt flash entraînant le prélèvement de 8,5 millions de dollars du protocole.
Un rapport post-mortem de l’auditeur de Platypus Omniscia a noté que l’attaque était possible en raison d’un code dans le mauvais ordre.
Le 23 février, l’équipe a annoncé qu’elle cherchait à restituer environ 78% des principaux fonds du pool en réinjectant des pièces stables gelées.
Mise à jour de la page de rémunération
Nous avons mis à jour notre page de rémunération aujourd’hui ! Si vous avez déposé ou retiré des jetons LP de nos agrégateurs de rendement avant la pause du pool, le montant de votre compensation sera mis à jour en conséquence.
Plus https://t.co/GfLIn5jmtF— Ornithorynque (++) (@Platypusdefi) 3 mars 2023
L’équipe a également confirmé les deuxième et troisième incidents, qui ont conduit à une exploitation supplémentaire de 667 000 dollars, portant les pertes totales à environ 9,1 millions de dollars.
La police française a arrêté deux suspects liés au piratage et a saisi environ 222 000 $ d’actifs cryptographiques le 25 février.
Financement de l’espoir : 1,86 million de dollars
Quelques jours plus tard, les utilisateurs du projet de stablecoin algorithmique basé sur l’arbitrage, Hope Finance, ont été la proie d’un exploit de contrat intelligent le 20 février, qui a vu environ 2 millions de dollars volés aux utilisateurs.
#CommunityAlert @hope_fin ont annoncé que la communauté avait été victime d’une arnaque pour environ 2 millions de dollars, ce qui en fait le plus grand #exitscam sur Arbitrum en 2023.
1,86 million de dollars ont été transférés à @TornadeCash.
Hope_fin a publié des étapes permettant aux utilisateurs de retirer leur LP jalonnéhttps://t.co/hJbFXiKujt
— Alerte CertiK (@CertiKAlert) 21 février 2023
La société de sécurité Web3 CertiK a signalé l’incident le 21 février, à la suite d’une annonce du compte Twitter de Hope Finance informant les utilisateurs de l’arnaque.
Un membre de l’équipe CertiK a déclaré à Cointelegraph à l’époque que l’escroc avait modifié les détails du contrat intelligent, ce qui a entraîné le prélèvement de fonds du protocole de genèse de Hope Finance :
« Il semble que l’escroc a modifié le contrat TradingHelper, ce qui signifie que lorsque 0x4481 appelle OpenTrade sur GenesisRewardPool, les fonds sont transférés à l’escroc. »
Dexible : 2 millions de dollars
L’agrégateur d’échange multichaîne Dexible a été touché par un exploit qui ciblait la fonction selfSwap de l’application, avec 2 millions de dollars de crypto-monnaie perdus à la suite de l’attaque du 17 février.
Selon un article du 18 février de la bourse, « un pirate informatique a exploité une vulnérabilité dans notre nouveau contrat intelligent. Cela a permis au pirate de voler des fonds de n’importe quel portefeuille qui avait une approbation de dépenses non dépensées sur le contrat.
Chère communauté Dexible, nous avons le regret de vous informer qu’aux premières heures du 17 février, un pirate a exploité une vulnérabilité dans notre nouveau contrat intelligent. Cela a permis au pirate de voler des fonds de n’importe quel portefeuille qui avait une approbation de dépenses non dépensées sur le contrat.
1/5
– Dexible (@DexibleApp) 17 février 2023
Après enquête, l’équipe Dexible a découvert que l’attaquant avait utilisé la fonction selfSwap de l’application pour déplacer plus de 2 millions de dollars de crypto auprès d’utilisateurs qui avaient précédemment autorisé l’application à déplacer leurs jetons.
Après avoir reçu les jetons dans son propre contrat intelligent, l’attaquant a retiré les pièces via Tornado Cash dans des portefeuilles BNB inconnus.
Zone de lancement : 700 000 $
Le protocole DeFi basé sur la chaîne BNB LaunchZone avait 700 000 $ de fonds épuisés le 27 février.
Selon à la société de sécurité blockchain Immunefi, un attaquant a exploité un contrat non vérifié pour drainer les fonds.
« Une approbation a été faite au contrat non vérifié il y a 473 jours par le déployeur LaunchZone », a déclaré Immunefi.
En rapport: Les pertes d’exploits cryptographiques en janvier connaissent une baisse de près de 93% d’une année sur l’autre
Les chiffres de février sont une forte augmentation par rapport à janvier, selon les chiffres de DefiLlama.
Le tracker ne répertorie que 740 000 $ de hacks sur les plates-formes DeFi au cours du mois sur deux protocoles – Midas Capital et ROE Finance.
Dans son 2023 Rapport sur la criminalité cryptographiquela société de données blockchain Chainalysis a révélé que les pirates ont volé 3,1 milliards de dollars aux protocoles DeFi en 2022, ce qui représente plus de 82 % du montant total volé au cours de l’année.