Le dernier piratage de la finance décentralisée (DeFi) a entraîné des pertes importantes pour le protocole Spartan basé sur Binance Smart Chain.
Dans un rapport du 2 mai, la société de sécurité PeckShield a détaillé l’exploit sur le protocole Spartan survenu la veille. Il a déclaré que l’incident était dû à un calcul de la part de liquidité défectueux dans le protocole, qui a été exploité pour drainer les actifs du pool.
Il a ajouté que ce piratage spécifique gonflait le solde des actifs du pool avant de brûler le même montant de jetons de pool pour réclamer un montant inutilement important d’actifs sous-jacents – d’une valeur de 30 millions de dollars dans ce cas.
Le blog Rekt, qui détaille les hacks et les exploits dans l’écosystème DeFi, a classé cette incursion au sixième rang de ses classements, en insistant sur « L’ère des prêts flash BSC est à nos portes. »
Un autre post-mortem DeFi
Rekt a fait un post-mortem sur l’attaque. Il a constaté qu’un prêt flash avait été contracté sur PancakeSwap pour 100 000 BNB emballés (wBNB), à restituer à la dernière étape avec 260 wBNB comme frais de prêt flash.
L’attaquant a ensuite échangé le wBNB vers le jeton SPARTA natif du protocole cinq fois via le pool Spartan exploité, échangeant à chaque fois 1 913 wBNB contre 621 865 jetons SPARTA. Le processus a été complété dix fois de plus afin de gonfler le solde des actifs du pool.
Les jetons ont ensuite été brûlés pour que la liquidité puisse être retirée et le processus a été répété jusqu’à ce que le prêt flash de 100 260 wBNB soit remboursé et que l’attaquant ait réussi à gagner plus de 30 millions de dollars.
PeckShield a expliqué:
«La vulnérabilité vient du fait que le calcul de la part de liquidité interroge le solde actuel qui peut alors être gonflé pour manipulation. Un calcul correct doit utiliser le solde mis en cache. »
L’attaquant a utilisé l’échange de 1 pouce pour échanger tous les jetons contre BTCB ou BETH, Spartan pour vider SPARTA et Nerve Finance pour échanger les versions BTCB et BETH contre Anyswap où il a retiré les fonds volés.
D’autres exploits BSC sont susceptibles de se produire
Le blog Rekt a mis en garde contre d’autres attaques de ce type à venir:
«Une histoire relativement simple d’un autre protocole copié qui était trop ambitieux avec leur imitation. L’ère des prêts flash BSC est à nos portes, et ce ne sera pas la dernière fois que nous verrons de telles attaques. »
Il a conclu qu’avec autant de développeurs se précipitant pour copier les puces bleues Ethereum sur Binance Smart Chain, il y aura certainement plus d’opportunités pour les pirates aux yeux vifs.
Les jetons SPARTA ont perdu 40% au cours du week-end alors que la nouvelle de l’incursion circulait.
Avertissement
Toutes les informations contenues sur notre site Web sont publiées de bonne foi et à des fins d’information générale uniquement. Toute action que le lecteur entreprend sur les informations présentes sur notre site Web est strictement à ses propres risques.
Auteur/autrice
