Qu’elles fonctionnent sur Ethereum, BinanceSmartchain ou Polygon, les applications DeFi ne sont pas à l’abri des attaques. En conséquence, certaines clés du protocole Visor Finance sont compromises, et l’attaquant peut accéder à une partie de sa liquidité. La plateforme de gestion de trésorerie Visor Finance est en effet le dernier protocole de finance décentralisé (DeFi).
L’abondance du succès DeFi
Le samedi 19 juin, le protocole DeFi a montré que l’attaquant a eu accès au compte qui gère certaines de ses fonctions administratives.
Il a ajouté que des acteurs malveillants peuvent retirer des fonds de dépôts qui n’ont pas été placés dans des positions de fournisseur de liquidités. Visor a indiqué que le montant volé équivalait à 16,7 % de sa valeur bloquée totale de 3 millions de dollars, soit environ 500 000 $.
Cependant, il a confirmé que le pirate informatique n’était pas membre de l’organisation et n’a donc pas pleinement compris sa garantie de retrait d’urgence. Il a souligné que :
» Les fonds volés sont limités aux objets personnels non localisés, donc le montant de 500 000 $ n’est pas arbitraire. »
Le protocole Visor propose un coffre-fort intelligent
Le protocole Visor fournit un coffre-fort intelligent, qui est un coffre-fort à token non-fongible (NFT) sur lequel les utilisateurs ont la possibilité de créer et de déposer des actifs. Il est ensuite usé pour interagir avec le « programme de gestion », un contrat intelligent qui connecte les actifs de trésorerie à un protocole DeFi externe. C’est l’hyperviseur qui a été attaqué lors de l’attaque, et l’équipe a admis que sa faute était d’avoir une seule autorité d’accès administrateur plutôt qu’un compte multi-signature.
« Mais cela dit, notre erreur a été de ne pas utiliser de comptes multi-signatures pour chaque fonction de gestion des hyperviseurs. Cela a été corrigé depuis. »
Visor a annoncé qu’il a été conçu à l’origine de cette façon, car il n’est pas pratique d’utiliser nombreuses signatures pour gérer un rééquilibrage fréquent entre plusieurs paires lorsqu’un rééquilibrage est indispensable. Il a ajouté qu’une fonction de retrait d’urgence a été mise en place pour tester les procédures de gestion avant les audits des accords, afin de garantir que les fonds doivent être récupérés.
Malgré les attaques répétées contre l’écosystème DeFi, le milliardaire Mark Cuban considère toujours cet écosystème comme un domaine d’avenir. Or, pour ce faire, les développeurs de tout l’écosystème doivent améliorer la sécurité de leurs protocoles afin qu’ils ne soient plus vulnérables à la moindre attaque.