La plate-forme de pont de jetons Meter Passport a subi des pertes de 4,4 millions de dollars en raison d’un piratage de contrat intelligent qui a également fait perdre 3,3 millions de dollars à Hundred Finance en raison de prêts sous-garantis.
Le Meter Passport (MTRG) de Meter.io est un pont de jetons compatible avec Ethereum et ses sidechains. Cette attaque a affecté le côté Moonriver du pont.
Moonriver est une plate-forme de contrat intelligente basée sur le réseau Kusama de Polkadot. Hundred Finance est une plateforme de prêt crypto basée sur le code de Compound Finance.
À partir de 14h00 UTC le 5 février et au cours de plusieurs transactions, environ 4,4 millions de dollars en Binance Coin (BNB) et wETH ont été frappés via une « hypothèse de confiance erronée » dans le code, selon un rapport du 6 février. déclaration de l’équipe du Mètre. Dans ce cas, une quantité arbitraire d’ETH a été déposée sur Meter que le pirate a utilisé pour frapper des jetons en utilisant la vulnérabilité.
1. Vers 6 heures du matin, heure du Pacifique, nous avons identifié quelqu’un capable de tirer parti d’une vulnérabilité du pont pour frapper une grande quantité de jetons BNB et WETH et épuisé la réserve de pont pour BNB sur WETH.
— ⚡️Meter.io⚡️ (@Meter_IO) 5 février 2022
L’attaque a provoqué un effet en cascade dans l’écosystème Moonriver basé à Kusama. Après avoir vidé Meter de ses réserves de BNB et de wETH, l’attaquant a vendu le BNB sur SushiSwap, un échange décentralisé populaire. Cela a conduit à une chute de 77 % du prix du BNB sur Moonriver à l’époque.
Un certain nombre d’opportunistes ont alors profité de la baisse des prix en achetant des BNB bon marché. Ils ont utilisé les jetons comme garantie sur Hundred Finance afin de contracter des prêts stables FRAX et MIM. Cependant, en raison de l’écart de prix de la BNB, leurs prêts valaient plus que la garantie qu’ils avaient fournie, provoquant une crise d’approvisionnement.
2/4. Les comptes ont pu acheter BNB.bsc à un prix réduit et utiliser ces jetons comme garantie au prix mondial Chainlink pour emprunter des actifs sans compromis sur notre plateforme. Parmi ceux-ci, MIM et FRAX sont actuellement impactés.
– Cent Finance (@HundredFinance) 6 février 2022
Étonnamment, deux des prêts ont été remboursés, laissant 3,3 millions de dollars de pertes impayées au protocole Hundred. L’équipe Hundred a tenté de contacter les parties impliquées pour leur demander de restituer les jetons BNB utilisés comme garantie à Meter.
L’équipe de Meter s’est engagée à rembourser sa communauté et Hundred Finance pour les pertes subies en raison du piratage. L’équipe déclaré le 6 février, il avait mis de côté 4,4 millions de dollars en jetons MTRG pour couvrir les pertes initiales.
« Vfat », le fondateur pseudonyme de Hundred Finance, a déclaré dans un communiqué à Nouvelles Rekt le 6 février que :
« Meter a bien sûr accepté la responsabilité de ce piratage et a l’intention d’utiliser son jeton natif pour le remboursement dans la mesure du possible, nous en sommes actuellement au stade de la collecte des adresses et des montants. »
En rapport: Qubit Finance subit une perte de 80 millions de dollars suite à un piratage
La société de sécurité blockchain PeckShield estimé qu’au total, 1 391 ETH et 2,74 wBTC ont été pris par l’attaquant et ont depuis été envoyés à Ethereum où les jetons sont passés par Tornado Cash, un outil de confidentialité des transactions ETH.
L’équipe de Hundred Finance n’a pas encore répondu à une demande de commentaire.
Les premiers détails de l’exploit du code de Meter ressemblent au piratage de Wormhole le 3 février dans lequel 120 000 wETH (321 millions de dollars) ont été malveillants et extraits de la plate-forme de Wormhole. Lors de cet incident, le pirate a exploité un bogue de contrat intelligent pour frapper wETH à volonté et a envoyé les jetons à Ethereum, où ils ont été lavés via Tornado Cash.