mercredi, novembre 27, 2024

7 piratages du protocole DeFi en février voient 21 millions de dollars de fonds volés: DefiLlama

La réentrance, les attaques d’oracle de prix et les exploits sur sept protocoles ont fait perdre au moins 21 millions de dollars de crypto en février à l’espace de la finance décentralisée (DeFi).

Selon à la plate-forme d’analyse de données DeFi DefiLlama, l’une des plus importantes du mois a été l’attaque de réentrée de prêt flash sur Platypus Finance, qui a entraîné une perte de fonds de 8,5 millions de dollars.

DefiLlama a mis en évidence six autres hacks remarquables au cours du mois, le premier étant l’attaque de l’oracle des prix contre BonqDAO le 1er février.

Les plates-formes DeFi ont subi sept attaques en février. Source : DéfiLlama

BonqDAO : 1,7 million de dollars

BonqDAO a révélé à ses abonnés dans un article du 1er février que son protocole Bonq avait été exposé à une attaque oracle qui permettait à l’exploiteur de manipuler le prix du jeton AllianceBlock (ALBT).

L’exploiteur a augmenté le prix de l’ALBT et a frappé de grandes quantités de Bonq Euro (BEUR). Le BEUR a ensuite été échangé contre d’autres jetons sur Uniswap. Ensuite, le prix est tombé à presque zéro, ce qui a déclenché la liquidation d’ALBT.

La société de sécurité Blockchain PeckShield a estimé les pertes à environ 120 millions de dollars ; cependant, il a été révélé plus tard que les pirates n’auraient encaissé qu’environ 1 million de dollars en raison d’un manque de liquidités sur BonqDAO.

Protocole Orion : 3 millions de dollars

Juste un jour plus tard, le 2 février, l’échange décentralisé Orion Protocol a subi un perte d’environ 3 millions de dollars via une attaque de réentrance, où les attaquants ont utilisé un contrat intelligent malveillant pour drainer des fonds d’une cible avec des ordres de retrait répétés.

Le PDG d’Orion Protocol, Alexey Koloskov, a confirmé l’attaque à l’époque, assurant à tous que « tous les fonds des utilisateurs sont sûrs et sécurisés ».

« Nous avons des raisons de croire que le problème n’était pas le résultat de lacunes dans notre code de protocole principal, mais pourrait plutôt avoir été causé par une vulnérabilité dans le mélange de bibliothèques tierces dans l’un des contrats intelligents utilisés par nos courtiers expérimentaux et privés. , » il a dit.

Réseau dForce : 3,65 millions de dollars

Le réseau dForce du protocole DeFi a été une autre victime en février d’une attaque de réentrance entraînant des pertes d’environ 3,65 millions de dollars.

Dans un 10 février poste, dForce a confirmé l’exploit ; cependant, dans une torsion, tous les fonds ont été restitués lorsque le pirate informatique s’est présenté comme un pirate informatique.

« Le 13 février 2023, les fonds exploités ont été intégralement restitués à notre multi-sig sur Arbitrum et Optimism, une fin parfaite pour tous », a déclaré dForce.

Platypus Finance : 9,1 millions de dollars

Le 16 février, le protocole DeFi Platypus Finance a subi une attaque de prêt flash entraînant le prélèvement de 8,5 millions de dollars du protocole.

Un rapport post-mortem de l’auditeur de Platypus Omniscia a noté que l’attaque était possible en raison d’un code dans le mauvais ordre.

Le 23 février, l’équipe a annoncé qu’elle cherchait à restituer environ 78% des principaux fonds du pool en réinjectant des pièces stables gelées.

L’équipe a également confirmé les deuxième et troisième incidents, qui ont conduit à une exploitation supplémentaire de 667 000 dollars, portant les pertes totales à environ 9,1 millions de dollars.

La police française a arrêté deux suspects liés au piratage et a saisi environ 222 000 $ d’actifs cryptographiques le 25 février.

Financement de l’espoir : 1,86 million de dollars

Quelques jours plus tard, les utilisateurs du projet de stablecoin algorithmique basé sur l’arbitrage, Hope Finance, ont été la proie d’un exploit de contrat intelligent le 20 février, qui a vu environ 2 millions de dollars volés aux utilisateurs.

La société de sécurité Web3 CertiK a signalé l’incident le 21 février, à la suite d’une annonce du compte Twitter de Hope Finance informant les utilisateurs de l’arnaque.

Un membre de l’équipe CertiK a déclaré à Cointelegraph à l’époque que l’escroc avait modifié les détails du contrat intelligent, ce qui a entraîné le prélèvement de fonds du protocole de genèse de Hope Finance :

« Il semble que l’escroc a modifié le contrat TradingHelper, ce qui signifie que lorsque 0x4481 appelle OpenTrade sur GenesisRewardPool, les fonds sont transférés à l’escroc. »

Dexible : 2 millions de dollars

L’agrégateur d’échange multichaîne Dexible a été touché par un exploit qui ciblait la fonction selfSwap de l’application, avec 2 millions de dollars de crypto-monnaie perdus à la suite de l’attaque du 17 février.

Selon un article du 18 février de la bourse, « un pirate informatique a exploité une vulnérabilité dans notre nouveau contrat intelligent. Cela a permis au pirate de voler des fonds de n’importe quel portefeuille qui avait une approbation de dépenses non dépensées sur le contrat.

Après enquête, l’équipe Dexible a découvert que l’attaquant avait utilisé la fonction selfSwap de l’application pour déplacer plus de 2 millions de dollars de crypto auprès d’utilisateurs qui avaient précédemment autorisé l’application à déplacer leurs jetons.

Après avoir reçu les jetons dans son propre contrat intelligent, l’attaquant a retiré les pièces via Tornado Cash dans des portefeuilles BNB inconnus.

Zone de lancement : 700 000 $

Le protocole DeFi basé sur la chaîne BNB LaunchZone avait 700 000 $ de fonds épuisés le 27 février.

Selon à la société de sécurité blockchain Immunefi, un attaquant a exploité un contrat non vérifié pour drainer les fonds.

« Une approbation a été faite au contrat non vérifié il y a 473 jours par le déployeur LaunchZone », a déclaré Immunefi.

En rapport: Les pertes d’exploits cryptographiques en janvier connaissent une baisse de près de 93% d’une année sur l’autre

Les chiffres de février sont une forte augmentation par rapport à janvier, selon les chiffres de DefiLlama.

Le tracker ne répertorie que 740 000 $ de hacks sur les plates-formes DeFi au cours du mois sur deux protocoles – Midas Capital et ROE Finance.

Dans son 2023 Rapport sur la criminalité cryptographiquela société de données blockchain Chainalysis a révélé que les pirates ont volé 3,1 milliards de dollars aux protocoles DeFi en 2022, ce qui représente plus de 82 % du montant total volé au cours de l’année.