Le dernier protocole de finance décentralisée (DeFi) à souffrir des mains d’un acteur malveillant est Rari Capital, qui a perdu plus de 10 millions de dollars lors d’un exploit du week-end.
Le 9 mai, Rari a publié un post mortem sur l’attaque expliquant comment un attaquant a réussi à drainer son pool d’Ethereum de 2600 ETH. Le rapport a confirmé que la perte équivalait à 60% de tous les fonds des utilisateurs du pool Rari Capital Ethereum, évalué à environ 10 millions de dollars à l’époque.
Rari est une plate-forme d’agriculture de rendement automatisée qui rééquilibre les pools et les fonds pour trouver les meilleures stratégies de rendement dans l’écosystème DeFi. Au 1er mai, DeFi Llama rapportait une TVL de 90 millions de dollars, mais celle-ci avait diminué de 8 millions de dollars le 10 mai selon Rari lui-même.
L’incursion, qui s’est produite le 8 mai, est la dernière d’une longue série d’exploits DeFi, y compris l’exploit EasyFi du 20 avril.
Dépasser le contrat intelligent DeFi
L’autopsie a expliqué que Rari utilise le jeton ibETH d’Alpha Finance comme l’une de ses stratégies génératrices de rendement pour les dépôts ETH.
Selon Alpha Finance, la fonction de calcul du montant total du pool a été manipulée à partir du contrat intelligent pour appeler d’autres fonctions du contrat de pool ETH de Rari. Cela a permis à l’attaquant de déposer de l’ETH, obtenu grâce à un prêt flash dYdX, et de retirer à plusieurs reprises plus que ce qui était réellement dans le pool.
Les soldes de Rari Capital Ethereum Pool ont été artificiellement gonflés grâce à la vulnérabilité permettant à l’attaquant de s’en tirer avec le butin et de vider la piscine. Rari a fait remarquer que le code avait été audité mais que cette vulnérabilité avait été négligée.
«Le code exploité a été audité par Quantstamp, mais, malheureusement, ils n’étaient pas non plus au courant de ces conditions.»
Il a ajouté que d’autres mesures de sécurité seront mises en œuvre à l’avenir et qu’un autre audit est prévu avec OpenZeppelin.
Rémunération du fonds développeur
Dans une mise à jour du 10 mai, le fondateur de Rari Capital, Jai Bhavnani, a déclaré qu’il était prévu d’utiliser une partie des fonds du développeur afin de récompenser les victimes.
Environ 2 millions de jetons de gouvernance Rari (RGT) ont été alloués aux contributeurs de protocole et à l’expansion de l’écosystème. Cependant, à la suite d’un vote, il a été décidé de le canaliser vers un fonds de compensation.
«Alors qu’il était en effet initialement destiné à faire évoluer l’équipe, tous les contributeurs du protocole ont choisi de rendre ce 2M $ RGT au DAO en demandant d’utiliser le $ RGT nouvellement acquis pour rembourser les fonds perdus et récompenser ceux qui ont aidé dans le cellule de crise. »
Les prix du RGT ont plongé de plus de 40% suite à l’attaque mais ont réussi à se redresser un peu pour s’échanger à 14 $ au moment de la mise sous presse.
Avertissement
Toutes les informations contenues sur notre site Web sont publiées de bonne foi et à des fins d’information générale uniquement. Toute action que le lecteur entreprend sur les informations présentes sur notre site Web est strictement à ses propres risques.
Auteur/autrice
