dForce se prive de 25 millions de dollars dans l'exploitation des contrats intelligents de DeFi

Le protocole de prêt de dForce, LendfMe, a été vidé de ses 25 millions de dollars dans le cadre d’un exploit de contrat intelligent connu.

Points clés à retenir

Le pool imBTC d’Uniswap a succombé à un exploit spécial, drainant le pool de 260 000 dollars de liquidités. Un jour plus tard, cet exploit a été recréé sur LendfMe.
L’exploit était un vecteur d’attaque connu qui tire parti d’une vulnérabilité de contrat intelligent connue.
dForce a levé des fonds auprès de sociétés comme Multicoin Capital et Huobi il y a cinq jours, mettant ces investisseurs sous pression.
LendfMe a déployé le code protégé par le droit d’auteur de Compound, sans consentement, ce qui a pu contribuer à une faille de sécurité.

Le LendfMe, la branche du marché monétaire de dForce, a été vidée de 25 millions de dollars dans un exploit de contrat intelligent connu. L’incident survient moins d’une semaine après une levée de fonds de 1,5 million de dollars.

Le marché éviscère le LendfMe

DeFi est une niche émergente dans le domaine de la cryptographie, ce qui rend difficile la mise en œuvre de codes libres de vulnérabilités dans les projets. Mais ces difficultés sont considérablement plus prononcées lorsqu’un projet ne comprend pas entièrement le code qu’il a déployé.

Le pool imBTC d’Uniswap était complètement drainé hier, ce qui a éveillé les soupçons des enquêteurs de la chaîne. L’attaque a été réalisée en utilisant un exploit connu des jetons ERC-777.

La liquidité des imBTC tombe à près de zéro — Les liquidités de l’imBTC sont passées de 260 000 dollars à 3 dollars en une seule journée, via Uniswap

Aujourd’hui, le LendfMe a été vidé après qu’un commerçant du protocole ait réussi à déployer une attaque similaire et drain la piscine.

Valeur totale immobilisée en dForce, tableau en millions — Source : DeFi Pulse

La vulnérabilité exploitée sur LendfMe a été mise en évidence par ConsenSys pour les DEX tels qu’Uniswap. Avec les pools de jetons ERC-777, une entité malveillante peut effectuer des appels de contrat constants pour retirer des fonds du contrat intelligent du pool de liquidités.

En conséquence, les retraits sont effectués plus rapidement que le solde du compte ne peut être mis à jour, ce qui permet à une entité d’acheter des jetons avec une forte décote en provoquant un déséquilibre dans la réserve de liquidités. Ce même exploit a été utilisé pour drainer des fonds du tristement célèbre contrat Ethereum DAO smart en 2016.

Selon le fondateur de dForce, Mindao Yang, les pirates ont tenté de contacter la société et ils « ont l’intention d’entamer des discussions avec eux ».

Les récents investisseurs de dForce prennent un coup

Il y a quatre mois, Compound a accusé LendfMe de plagier son code protégé par des droits d’auteur. De plus, ces accusations sont fondées. Il semblerait que LendfMe n’ait pas pris la peine de retirer les preuves de la licence de Compound de sa base de données sur GitHub.

Malgré la controverse, le projet a permis de lever 1,5 million de dollars de capitaux lors d’un tour de table mené par Multicoin Capital, annoncé cette semaine.

La justification de l’investissement était que dForce pouvait consolider sa place en tant qu’acteur de premier plan dans l’écosystème de la DeFi de l’Est. Toutefois, la DeFi est censée être sans frontières et n’est pas limitée par des frontières géographiques.

Les utilisateurs en Chine ne sont pas empêchés d’utiliser le Compound, qui était déjà trois fois plus liquide que le LendfMe avant cet incident.

dForce dispose d’un avantage grâce à l’accès à de meilleurs canaux de marketing direct et à l’intégration des utilisateurs en Asie. Mais une fois de plus, il est essentiel de rappeler que les utilisateurs en Asie peuvent déjà tirer parti de l’infrastructure DeFi existante.

Si un projet n’a pas l’expertise nécessaire pour développer ses propres contrats intelligents, et qu’il vole et redéploie à la place le code protégé par les droits d’auteur de quelqu’un d’autre, c’est le signe qu’il n’a pas la capacité ou l’intention de prendre en compte la sécurité.

J’espère que les développeurs et les utilisateurs tireront des enseignements de la @LendfMe hack.

– Leshner (@rleshner) 19 avril 2020

Le Compound ne prend pas encore en charge les jetons ERC-777, et peut-être pour une bonne raison. Le déploiement de code volé par LendfMe a peut-être contribué au manque de compréhension du projet concernant les questions complexes de sécurité, ce qui l’a conduit à succomber à l’exploit récent.

« Cette attaque a été mon échec. Bien que je ne l’aie pas exécutée, j’aurais dû l’anticiper et prendre des mesures pour l’empêcher. Je suis de tout cœur avec tous ceux qui ont été blessés, et je ferai tout ce qui est en mon pouvoir pour réparer les dégâts. Je présente mes excuses les plus sincères à nos utilisateurs, à nos nouveaux investisseurs et à mon équipe pour les avoir laissés tomber », a déclaré M. Yang.

Les informations contenues dans ce site Web ou accessibles par son intermédiaire sont obtenues auprès de sources indépendantes que nous considérons comme exactes et fiables, mais Decentral Media, Inc. ne fait aucune déclaration ni garantie quant à l’opportunité, l’exhaustivité ou l’exactitude de toute information contenue dans ce site Web ou accessible par son intermédiaire. Decentral Media, Inc. n’est pas un conseiller en investissement. Nous ne donnons pas de conseils d’investissement personnalisés ni d’autres conseils financiers. Les informations figurant sur ce site web sont susceptibles d’être modifiées sans préavis. Certaines ou toutes les informations contenues dans ce site peuvent devenir obsolètes, ou peuvent être ou devenir incomplètes ou inexactes. Nous pouvons, sans y être obligés, mettre à jour toute information périmée, incomplète ou inexacte.

Vous ne devez jamais prendre une décision d’investissement concernant un OIC, un OEI ou tout autre investissement sur la base des informations figurant sur ce site web, et vous ne devez jamais interpréter ou autrement vous fier à l’une des informations figurant sur ce site web comme un conseil d’investissement. Nous vous recommandons vivement de consulter un conseiller en investissement agréé ou un autre professionnel financier qualifié si vous souhaitez obtenir un conseil en investissement sur un OPCI, un OEI ou un autre investissement. Nous n’acceptons aucune rémunération, sous quelque forme que ce soit, pour l’analyse ou le rapport sur un ICO, un IEO, une devise cryptographique, une devise, des ventes symboliques, des titres ou des marchandises.

Voir les conditions générales.