mardi, novembre 26, 2024

Une vulnérabilité DeFi conduisant à un exploit de 6,7 millions de dollars « non détecté » par les auditeurs

Le protocole décentralisé de stablecoin en dollars américains, Raft, affirme que malgré plusieurs audits de sécurité, la société a toujours subi un exploit de sécurité entraînant une perte de 6,7 millions de dollars la semaine dernière.

Selon le rapport post-mortem du projet du 13 novembre, quelques jours auparavant, un pirate informatique emprunté 6 000 Ethers jalonnés enveloppés dans Coinbase (cbETH) sur le protocole financier décentralisé Aave, ont transféré la somme à Raft et ont frappé 6,7 millions de jetons R, le stablecoin de Raft, en utilisant un problème de contrat intelligent.

Les fonds émis non autorisés ont ensuite été échangés hors de la plate-forme via des pools de liquidités sur les bourses décentralisées Balancer et Uniswap, rapportant 3,6 millions de dollars de produit. Le stablecoin R s’est désindexé après l’attaque.

Selon le rapport:

« La principale cause était un problème de calcul de précision lors de la frappe des jetons de partage, ce qui a permis à l’exploiteur d’obtenir des jetons de partage supplémentaires. L’attaquant a exploité la valeur amplifiée de l’indice pour augmenter la valeur de ses actions.

Les contrats intelligents exploités lors de l’incident ont été audités par les sociétés de sécurité blockchain Trail of Bits and Hats Finance. « Malheureusement, les vulnérabilités qui ont conduit à l’incident n’ont pas été détectées lors de ces audits », a écrit Raft.

Le projet a déclaré que depuis l’incident du 10 novembre, il avait déposé un rapport de police et travaillait avec des bourses centralisées pour retracer le flux des fonds volés. Tous les contrats intelligents de Raft sont actuellement suspendus, bien que les utilisateurs qui ont créé R « conservent la possibilité de rembourser leurs positions et de récupérer leurs garanties ».

Les pièces stables décentralisées sont émises avec les dépôts cryptographiques des utilisateurs comme garantie. En décembre 2022, le stablecoin décentralisé HAY s’est désindexé par rapport au dollar américain après qu’un pirate informatique a profité d’un problème de contrat intelligent et a frappé 16 millions de HAY sans garantie appropriée. Le stablecoin HAY a depuis été repéré, en partie à cause du protocole exigeant un taux de garantie de 152 % au moment de l’exploit dans le cadre de sa gestion des risques.

En relation: septembre devient le mois le plus important pour les exploits cryptographiques en 2023