Le samedi 2 avril, le protocole de prêt cryptographique basé sur Ethereum, Inverse Finance, a révélé qu’il avait subit un piratage. L’attaquant aurait réussi à voler 15,6 millions de dollars en crypto-monnaie. Selon le rapport du projet, les pirates ont jeté leur dévolu sur le marché monétaire Anchor, manipulant les prix des jetons pour emprunter de l’argent avec très peu de garanties.
This morning Inverse Finance's money market, Anchor, was subject to a capital-intensive manipulation of the INV/ETH price oracle on Sushiswap, resulting in a sharp rise in the price of INV which subsequently enabled the attacker to borrow $15.6 million in DOLA, ETH, WBTC, & YFI
— Inverse+ (@InverseFinance) April 2, 2022
L’exploit signalé par PeckShield
La société de sécurité Blockchain PeckShield rapporte que les attaquants ont découvert une vulnérabilité dans l’oracle des prix Keep3r qu’Inverse utilise pour suivre les prix des jetons.
Selon le rapport, le hacker a rapporté 94 WBTC, 39 YFI, 3 999 669 DOLA et 1 588 ETH. La manipulation, en revanche, n’est pas un programme de prêt flash et n’a rien à voir avec les contrats intelligents ou la technologie frontale d’Inverse.
Selon le rapport, l’attaquant a trompé l’oracle en lui faisant croire que le jeton INV d’Inverse était incroyablement cher, puis a obtenu un prêt de plusieurs millions de dollars sur Anchor en utilisant l’INV gonflé comme garantie.
D’après un responsable de PeckShield, une telle tentative est à haut risque, car si le prix INV revient à des niveaux normaux avant l’attaque, l’attaquant perdrait complètement les 3 millions de dollars de crypto-monnaie utilisés pour tromper les oracles de tarification. L’auteur n’a pas contracté le prêt.
A découvrir : Le Japon envisage une réglementation plus stricte sur les cryptos pour renforcer les sanctions russes.
Suspension des emprunts sur Anchor
Par conséquent, tout emprunt supplémentaire sur Anchor a été temporairement suspendu, a déclaré Inverse. Un représentant du protocole a également déclaré que le protocole travaillait avec Chainlink pour créer un nouvel oracle INV.
Inverse a également déclaré qu’il fournirait une organisation autonome décentralisée (DAO) pour « s’assurer que tous les portefeuilles affectés par la manipulation des prix sont compensés à 100%« , bien qu’il n’ait pas précisé. Dans le même temps, le projet invite les manipulateurs de prix à se connecter les uns aux autres, en organisant des primes en échange d’argent emprunté.
En seulement une semaine, 3 attaques majeures contre un protocole de financement décentralisé (DeFi) se sont passées. Cela souligne également les tactiques extrêmement sophistiquées des attaquants. Le réseau Ronin a également signalé une perte de 625 millions de dollars mardi, tandis qu’Ola Finance a déclaré qu’il avait été piraté et avait perdu 3,6 millions de dollars.
Bonus : La SEC a ajouté les crypto-monnaies à ses priorités d’examen pour 2022.
