Après l’une des plus grandes attaques de piratage sur le Ronin Network la semaine dernière, un exploit massif sur le protocole DeFi Inverse Finance a eu lieu pendant le week-end. Aujourd’hui, nous allons donc examiner ce qui s’est passé, ainsi que la manière d’éviter des problèmes similaires.
En résumé :
Qu’est-ce que la finance inverse ?
Inverse Finance est un protocole DeFi open-source qui cible en particulier les prêts en crypto-monnaies. Ainsi, il permet à la fois d’emprunter avec des crypto-monnaies en garantie et de bloquer ses crypto-monnaies afin de prêter à d’autres personnes et d’obtenir des taux d’intérêt intéressants. Cependant, certains utilisateurs ont payé l’intérêt intéressant ici par le risque plutôt important associé aux petits protocoles DeFi destinés au prêt. Le fonctionnement du protocole a été détourné par un ou plusieurs attaquants (ce que l’on appelle l’exploitation du protocole). En conséquence, les attaquants ont perdu jusqu’à 15 millions de dollars, qui ont été perdus pour les prêteurs.
Vous pouvez apprendre ce qu’est le prêt et comment gagner de l’argent avec le prêt de crypto-monnaies ici.
Bien que cette fois-ci, il ne s’agissait pas d’un problème classique de prêt flash, dans lequel les utilisateurs empruntent des cryptocurrences, dont le prix chute ensuite rapidement (souvent par manipulation des attaquants) et la liquidation a lieu si vite que les prêteurs ne récupèrent pas la valeur qu’ils ont prêtée, le problème était très similaire aux exploits de prêt flash.
Alors, que s’est-il passé ?
Le problème a d’abord été signalé par le compte twitter de PeckShield Inc., qui a établi un lien avec des transactions suspectes effectuées à partir d’un portefeuille financé par Tornado Cash. Tornado Cash est alors un « mélangeur » de crypto-monnaies utilisé pour masquer l’origine des fonds. Ce portefeuille a profité de la faible liquidité sur Sushiswap, notamment sur les paires INV/WETH et surtout INV/DOLA, et de l’oracle des prix sur INV/WETH, qui était utilisé par la plateforme Inverse Finance pour déterminer la valeur des garanties, etc. Mais comment concrètement ?
L’attaquant a retiré 901 ETH de Tornado Cash et a commencé à négocier sur la paire INV/DOLA sur Sushiswap, où il y avait beaucoup moins de liquidité par rapport aux autres plateformes où INV est disponible. Suite à l’évolution du prix de l’INV dans cette paire, un problème est apparu sur l’oracle INV/DOLA amTWAP qui a conduit à une pompe dans le prix jusqu’à 20,926 $ à partir d’environ 390 $.
Comment faire un usage pratique et rentable de la finance décentralisée ? Consultez l’Université DeFi pour des tutoriels pratiques sur chaque produit et de nombreux conseils provenant directement du terrain.
Les garanties des jetons de Inverse Finance sont surévaluées.
L’attaquant, qui a acheté la plupart de ses INV alors qu’ils étaient encore au prix d’origine, a ensuite exploité cette faille dans l’oracle informant le prix pour emprunter beaucoup de crypto-monnaies pour des INV nettement plus chers. Pour ce faire, il a utilisé le produit Anchor directement sur Inverse Finance (attention à ne pas confondre avec le protocole Anchor sur Terra), où il a verrouillé ces INV en tant que garantie qui étaient bien au-dessus de leur prix de marché sur d’autres plateformes. Le rapport d’attaque d’aujourd’hui d’Inverse Finance indique qu’il a réussi à emprunter pas moins de 1 588 ETH, 94 WBTC, 4 000 000 DOLA et 39 YFI. Tout cela avec un financement initial de 901 ETH. Pour dissimuler son comportement, il a ensuite utilisé une partie supplémentaire de ses fonds pour spammer le réseau avec de petites transactions et dissimuler son attaque. Par conséquent, les personnes intéressées par l’arbitrage n’ont pas eu le temps de profiter de la situation lorsqu’il y avait des possibilités d’arbitrage intéressantes.
Après que l’oracle a commencé à reconnaître le prix de la bonne manière, les INVs bloqués comme garantie par les attaquants ont été liquidés au profit des prêteurs. Cependant, même cela n’a pas eu la moindre chance de compenser les pertes que certaines des parties prenantes (prêteurs) de WBTC, ETH, YFI et DOLA sur Anchor ont encourues en agissant ainsi.
Quelle est la prochaine étape ?
L’équipe d’Inverse Finance a promis de veiller à ce que les fonds perdus par ses clients soient récupérés. Ils ont également promis de tout faire pour préserver l’ancrage de leur monnaie stable DOLA au dollar américain. En même temps, ils ne prévoient pas de payer les personnes endommagées dans le jeton INV afin de ne pas provoquer une chute de sa valeur.
Par ailleurs, l’équipe teste actuellement le code des oracles INV et a suspendu les prêts sur Anchor. Dans le même temps, l’équipe a décidé d’augmenter la liquidité DOLA sur Curve afin de réduire la possibilité d’exploiter une liquidité insuffisante.
Vous commencez à peine à vous familiariser avec le monde de la finance décentralisée ? Consultez cet article d’introduction pour en savoir plus sur les possibilités dans ce domaine.
Comment se protéger ?
Bien que ces situations ne soient pas les plus faciles à prévenir, il existe deux façons de réduire le risque. La première consiste à assurer les fonds en utilisant les contrats intelligents des entreprises qui s’occupent de cette question. Cela peut être particulièrement intéressant à des moments où nous obtenons des intérêts plus élevés sur le capital. Dans le même temps, il convient de surveiller les fonds de réserve du projet et d’évaluer si le projet serait en mesure de couvrir une attaque de pirates informatiques.
Dans le même temps, ces attaques de type « flash loan » et autres attaques similaires peuvent être évitées en choisissant une plateforme qui ne permet pas de verrouiller les garanties dans les cryptocurrences dont la liquidité est faible sur les plateformes d’où les oracles tirent les informations sur les prix. Ou simplement une faible liquidité et une forte volatilité en général. En fait, bien qu’il ne s’agisse pas cette fois d’un problème de prêt flash typique, mais d’un problème d’oracles, dans les deux cas, le problème ne se serait pas produit si la garantie était en BTC, par exemple. Ou du moins, il aurait été beaucoup plus difficile de manipuler le prix, même sur les petites bourses.
Bien entendu, il faut ensuite vérifier si le code des protocoles en question a été audité par une société de cybersécurité de confiance. Et ceux qui le peuvent peuvent, bien sûr, lire les codes eux-mêmes, puisqu’il s’agit dans la grande majorité des cas de protocoles à code source ouvert.
Vous voulez en savoir encore plus sur DeFi ? Venez à l’atelier. Nous organisons actuellement deux ateliers dans ce domaine :
![[Večerní souhrn článků] - Intel annonce la deuxième génération d'ASICs Blockscale pour le minage de bitcoins - et plus encore](https://alchimy.info/wp-content/uploads/2022/04/Alchimyinfo-Intel-annonce-la-deuxieme-generation-dASICs-Blockscale-pour-150x150.jpeg)