Points clés à retenir
- Rari Capital et Fei Protocol ont été touchés aujourd’hui par un autre exploit majeur.
- Un pirate informatique a volé environ 80 millions de dollars aux pools de prêt Fuse de Rari tôt samedi.
- L’équipe Fei offre une prime de 10 millions de dollars pour le retour en toute sécurité des fonds.
L’équipe Fei offre une prime de 10 millions de dollars pour le retour en toute sécurité des fonds.
Rari Hacker vole 80 millions de dollars
L’espace DeFi a été touché par un autre exploit majeur. Cette fois, Rari Capital et Fei Protocol sont concernés. LEs données sur la chaîne montre qu’un pirate informatique a volé environ 80 millions de dollars aux pools de prêt Fuse de Rari tôt samedi.
Poursuivant une tendance observée dans de nombreuses autres attaques DeFi au cours de l’année écoulée, le pirate a exploité ce que l’on appelle un bogue de réentrance, une forme d’exploit de contrat intelligent qui permet essentiellement à un attaquant de tromper un protocole en le laissant retirer une offre excédentaire de tokens ils ne possèdent pas réellement.
Les pools Fuse de Rari fonctionnent sur le vaste écosystème DeFi d’Ethereum. Ils offrent un moyen de créer des marchés de prêt isolés pour toutes sortes d’actifs symboliques, ce qui n’est pas offert par de nombreux autres protocoles de prêt plus importants et plus liquides. L’un des principaux utilisateurs de Fuse est Fei, un autre protocole DeFi qui est surtout connu pour la création du stablecoin FEI. Fei fournit FEI aux marchés de prêt de Fuse afin d’augmenter sa liquidité et de rendre le stablecoin plus robuste. En raison de leur étroite relation, les deux projets ont récemment fusionné.
L’équipe Fey pris sur Twitter pour annoncer le piratage peu de temps après qu’il se soit produit, affirmant qu’il avait identifié un exploit dans ses pools Rari Fuse et mis en pause sa fonction d’emprunt. Il a également offert au pirate une prime de 10 millions de dollars en exchange pour le retour en toute sécurité des fonds. Selon un message Discord de Joey Santoro de Fei, un rapport post-mortem suivra dans un proche avenir.
La société d’analyse blockchain PeckShield a également confirmé l’attaque en un tweetnotant que « l’ancien bogue de la réentrance mord à nouveau ».
Comme c’est souvent le cas dans des incidents comme celui-ci, l’attaquant a déjà acheminé des fonds via Tornado Cash, un mélangeur basé sur Ethereum qui aide les utilisateurs à préserver la confidentialité en masquant l’historique de leurs transactions. A l’heure de la presse, leur Ethereum wallet contient encore un peu moins de 22 673 ETH d’une valeur d’environ 63,75 millions de dollars.
Les attaques DeFi continuent
L’incident d’aujourd’hui n’est que le dernier d’une série de piratages DeFi de plusieurs millions de dollars au cours des derniers mois. Comme Ethereum est la principale plaque tournante de DeFi aujourd’hui, il est devenu un foyer pour de telles attaques grâce aux opportunistes natifs de Solidity qui savent lire du code mal écrit. Solidity est le langage de codage d’Ethereum, mais très peu de gens dans le monde le connaissent. Cela signifie qu’un audit décent peut être difficile à trouver, et ceux qui peuvent auditer peuvent s’en tirer en facturant une petite fortune.
Fait intéressant, les plus gros piratages DeFi se produisent souvent le week-end, peut-être parce que les attaquants pensent que les équipes seront plus lentes à réagir et qu’elles auront plus de chances de s’en tirer avec le crime. Aujourd’hui, quelques heures seulement après l’attaque de Rari, Saddle Finance a été touché par un exploit similaire à sept chiffres. Et le 17 avril, Beanstalk a été vidé d’environ 76 millions de dollars. DEUS Finance a également été touché jeudi, le pirate s’emparant d’environ 13,4 millions de dollars. Bien que DeFi soit connu pour ses innombrables hacks, les mauvais acteurs ciblent de plus en plus les communautés NFT comme Bored Ape Yacht Club alors que les cours des NFT recherchés ont monté en flèche. Pour les utilisateurs de Web3, la vague sans fin d’attaques devrait rappeler les risques associés à l’utilisation d’Ethereum et de la technologie de cryptographie encore naissante.
Divulgation: Au moment de la rédaction de cet article, l’auteur de cet article possédait ETH et plusieurs autres crypto-monnaies.
Après mon master en Finance à l’université de Paris-Saclay, j’ai décidé de m’investir dans ce monde qui me passionne depuis des années, celui de la blockchain et des crypto monnaies, du web3 et de bien plus encore. Je partage avec vous les actualités du monde des cryptos que je trouve dans la presse internationale.