Le protocole décentralisé Yearn Finance, l’un des services historiques de l’écosystème Ethereum, a signalé le 30 novembre un exploit qui a entraîné des pertes de près de 9 millions de dollars.
Yearn est une plateforme qui automatise les stratégies d’investissement dans la finance décentralisée (DéFi). Ses contrats gèrent les dépôts des utilisateurs et exécutent des actions pour optimiser les performances.
L’incident a touché l’un de ses bassins de échange d’écurieun type de contrat intelligent conçu pour échanger des actifs qui conservent des valeurs similaires les uns aux autres.
Yearn a signalé que l’exploit s’est produit dans une version personnalisée du code. échange d’écurie et a également précisé que son Les coffres-forts V2 et V3 (coffres d’investissement automatisés) ne courent aucun risque.
Comment s’est déroulée l’exploitation du contrat Yearn ?
Par une déclaration sur
Le terme monnayage décrit la création de nouveaux jetons au sein d’un contrat intelligent. Dans ce cas, l’attaquant a réussi à conclure le contrat générera une grande quantité de yETH sans réel soutien.
Le token yETH, quant à lui, représente la participation d’un utilisateur au sein du pool concerné. Lorsqu’une personne dépose de l’ETH ou des actifs équivalents, elle reçoit du yETH proportionnellement.
Le pirate a trouvé une faille qui vous a permis de créer ces jetons sans apporter de fonds. Concrètement, vous avez obtenu des « jetons de propriété » de liquidités que vous n’aviez pas déposées.
Avec ces yETH mal créés, l’acteur malveillant a retiré des fonds authentiques du pool et aussi la paire yETH-WETH (éther enveloppé). Ainsi, il a drainé des liquidités réelles en utilisant des jetons faussement générés.
Selon Yearn, les pertes préliminaires atteignent 8 millions de dollars dans le pool principal et 0,9 million de dollars supplémentaires dans le pool situé sur Curve Finance, une autre plateforme décentralisée d’Ethereum. Le total est d’environ 9 millions.
L’équipe a indiqué que une salle d’urgence a été activée en collaboration avec SEAL 911 (un groupe de réponse rapide aux incidents) et ChainSecurity, l’un des auditeurs du contrat, pour mener l’enquête complète.
Également le jeton natif Yearn (YFI) subi le choc. YFI a enregistré une baisse de 6,55% au cours des dernières 24 heuress’échangeant autour de 3 800 $ à la clôture de cette note.
Par la suite, et comme conséquence immédiate de l’attaque de Yearn, Le prix du yETH s’est effondré à 0:
Plus de détails sur l’attaque contre Yearn Finance
L’utilisateur connu dans X sous le nom de Cos, fondateur de SlowMist Team (firme spécialisée en sécurité et analyse en chaîne) a fourni des aspects supplémentaires.
L’analyste a indiqué que le responsable “avait préparé du gaz du protocole de confidentialité Railgun 28 jours auparavant, une très petite quantité de gaz (0,0006384 ETH).” Railgun est un outil qui vous permet de masquer les données de transaction grâce à des preuves cryptographiques.
Préparer le gaz à l’avance implique que l’attaquant a planifié le mouvement et a laissé un minimum de fonds prêt à exécuter des actions. sans révéler son identité.
Il a également détaillé que l’opération avait fini par déplacer « 1 000 éthers (ETH) vers Tornado Cash », un mélangeur qui fragmente et combine les fonds de plusieurs utilisateurs. pour empêcher le suivi.
Ces mouvements sont visibles dans l’image suivante :
Selon leur analyse, il s’agissait à l’origine de 1 100 ETH, mais 100 ont été retirés pour une utilisation ultérieure. Le solde envoyé au mélangeur correspond aux pertes estimées de l’exploit, ce qui suggère que l’exploitation minière a été exécutée directement et efficacement.
De plus, le fondateur de SlowMist a assuré que “comme le précédent hack Balancer, c’est l’œuvre du même groupe de phishing” (attaques qui manipulent des données ou incitent les utilisateurs ou les systèmes à accepter des informations falsifiées).
Cos a conclu en décrivant le pirate informatique comme “une personne avec des normes de propreté très élevées”faisant référence à la manière méticuleuse avec laquelle il cachait les traces.
