Search

dForce draine 24 millions de dollars dans l'exploitation des contrats intelligents de DeFi


Le protocole de prêt de dForce, LendfMe, a été vidé de ses 24 millions de dollars dans le cadre d’un contrat intelligent connu pour son exploit.

Points clés à retenir

  • Le pool imBTC d’Uniswap a succombé à un exploit spécial, drainant le pool de 260 000 dollars de liquidités. Un jour plus tard, cet exploit a été recréé sur LendfMe.
  • L’exploit était un vecteur d’attaque connu qui tire parti d’une vulnérabilité de contrat intelligent connue.
  • dForce a levé des fonds auprès de sociétés comme Multicoin Capital et Huobi il y a cinq jours, mettant ces investisseurs sous pression.
  • LendfMe a déployé le code protégé par le droit d’auteur de Compound, sans consentement, ce qui a pu contribuer à une faille de sécurité.

La catégorie des actualités DeFi vous a été présentée par Ampleforth, notre partenaire préféré de DeFi

Partager cet article

Le LendfMe, la branche du marché monétaire de dForce, a été vidée de 24 millions de dollars dans le cadre d’un contrat intelligent connu pour son exploit. L’incident survient moins d’une semaine après une levée de fonds de 1,5 million de dollars.

Le marché éviscère le LendfMe

DeFi est une niche émergente dans le domaine de la cryptographie, ce qui rend difficile la mise en œuvre de codes libres de vulnérabilités dans les projets. Mais ces difficultés sont considérablement plus prononcées lorsqu’un projet ne comprend pas entièrement le code qu’il a déployé.

Le pool imBTC d’Uniswap était complètement drainé hier, ce qui a éveillé les soupçons des enquêteurs de la chaîne. L’attaque a été réalisée en utilisant un exploit connu des jetons ERC-777.

La liquidité des imBTC tombe à près de zéro
Les liquidités de l’imBTC sont passées de 260 000 dollars à 3 dollars en une seule journée, via Uniswap

Aujourd’hui, le LendfMe a été vidé après qu’un commerçant du protocole ait réussi à déployer une attaque similaire et drain la piscine.

Valeur totale immobilisée en dForce, tableau en millions
Source : DeFi Pulse

La vulnérabilité exploitée sur LendfMe a été mise en évidence par ConsenSys pour les DEX tels qu’Uniswap. Avec les pools de jetons ERC-777, une entité malveillante peut effectuer des appels de contrat constants pour retirer des fonds du contrat intelligent du pool de liquidités.

En conséquence, les retraits sont effectués plus rapidement que le solde du compte ne peut être mis à jour, ce qui permet à une entité d’acheter des jetons avec une forte décote en provoquant un déséquilibre dans la réserve de liquidités. Ce même exploit a été utilisé pour drainer des fonds du tristement célèbre contrat Ethereum DAO smart en 2016.

Annonce Simetri
Annonce Simetri

Selon le fondateur de dForce, Mindao Yang, les pirates ont tenté de contacter la société et ils « ont l’intention d’entamer des discussions avec eux ».

Les récents investisseurs de dForce prennent un coup

Il y a quatre mois, Compound a accusé LendfMe de plagier son code protégé par des droits d’auteur. De plus, ces accusations sont fondées. Il semblerait que LendfMe n’ait pas pris la peine de retirer les preuves de la licence de Compound de sa base de données sur GitHub.

Malgré la controverse, le projet a permis de lever 1,5 million de dollars de capitaux lors d’un tour de table mené par Multicoin Capital, annoncé cette semaine.

La justification de l’investissement était que dForce pouvait consolider sa place en tant qu’acteur de premier plan dans l’écosystème de la DeFi de l’Est. Toutefois, la DeFi est censée être sans frontières et n’est pas limitée par des frontières géographiques.

Les utilisateurs en Chine ne sont pas empêchés d’utiliser le Compound, qui était déjà trois fois plus liquide que le LendfMe avant cet incident.

dForce dispose d’un avantage grâce à l’accès à de meilleurs canaux de marketing direct et à l’intégration des utilisateurs en Asie. Mais une fois de plus, il est essentiel de rappeler que les utilisateurs en Asie peuvent déjà tirer parti de l’infrastructure DeFi existante.

Le Compound ne prend pas encore en charge les jetons ERC-777, et peut-être pour une bonne raison. Le déploiement de code volé par LendfMe a peut-être contribué au manque de compréhension du projet concernant les questions complexes de sécurité, ce qui l’a conduit à succomber à l’exploit récent.

« Cette attaque a été mon échec. Bien que je ne l’aie pas exécutée, j’aurais dû l’anticiper et prendre des mesures pour l’empêcher. Je suis de tout cœur avec tous ceux qui ont été blessés, et je ferai tout ce qui est en mon pouvoir pour réparer les dégâts. Je présente mes excuses les plus sincères à nos utilisateurs, à nos nouveaux investisseurs et à mon équipe pour les avoir laissés tomber », a déclaré M. Yang.

La catégorie des actualités DeFi vous a été présentée par Ampleforth, notre partenaire préféré de DeFi

Ampleforth Adaptive Gold Stablecoin

Partager cet article



Auteur/autrice

Partager:

Articles Similaires