Comment un attaquant a siphonné plus de 11 millions de dollars de protocoles DeFi, Agave et Hundred Finance.

Le développement de la finance décentralisée (DeFi) sur le réseau blockchain permet d'assurer des transactions sécurisées et plus rapides.

Bien que les plateformes DeFi présentent de nombreux avantages, elles sont sujettes à des attaques.

Lorsque ces attaques se produisent, elles entraînent la perte de montants massifs et la perturbation de transactions importantes.

L'une des récentes attaques contre le protocole DeFi a entraîné la perte de 11 millions de dollars.

L'attaque a été menée sur la blockchain Agave et Hundred Finance.

Les pirates ont lancé une forme d'attaque par ré-entrance.

Le piratage de ré-entraînement permet à un pirate de tromper le contrat d'un protocole pour faire un appel direct mais externe à un contrat non fiable.

Étant donné qu'il s'agit de protocoles de blockchain décentralisés, Agave et Hundred Finance n'ont pas pu empêcher les jetons avec des callbacks, ce qui a fait de l'attaque un succès.

Les protocoles décentralisés continuent de tirer parti du réseau blockchain pour assurer des transactions et des vérifications plus rapides.

En dehors de cela, les plateformes de finance décentralisée continuent d'être la meilleure option pour les investissements, les transactions internationales et les moyens d'échange.

Les protocoles DeFi et toutes les applications blockchain (en général) sont sujets à des attaques.

En raison des vastes investissements et des énormes transactions effectuées sur plusieurs sites, ces applications sont sujettes aux attaques et aux accès non autorisés.

Malgré tous les efforts déployés par les développeurs de blockchains pour mettre constamment à jour l'architecture de sécurité et assurer une vérification approfondie des transactions, les pirates informatiques parviennent toujours à leurs fins.

Une attaque récente a eu lieu lorsque les pirates ont siphonné plus de 11 millions de dollars d'Agave et de Hundred Finance.

Cet article donne des détails plus précis sur l'attaque et la façon dont elle a affecté la plateforme blockchain.

Avant de passer à la façon dont l'attaque a été lancée, définissons Agave et Hundred Finance.


Qu'est-ce qu'Agave?

---

Agave est une grande marque avec plusieurs filiales, et l'une d'entre elles est la plateforme blockchain et la crypto-monnaie.

Le jeton d'Agave sur le marché cryptographique est AgaveCoin (AGVE).

Agave est une blockchain gérée par le protocole DAO (Decentralized Autonomous Organization).

Cette plateforme blockchain récompense les déposants avec un revenu passif. Les déposants peuvent utiliser leurs dépôts comme garantie de dette et prêter des actifs numériques.

La pièce est un jeton 100% utilitaire qui permettra aux acteurs du secteur et aux parties prenantes de participer et d'investir.

AgaveCoin est un protocole financier décentralisé qui permettra le commerce, les paiements et les transactions de produits agricoles.

En tant que détenteur du jeton AGVE, vous avez le pouvoir de vote pour diriger la stratégie et prendre des décisions.

Agave est construit sur la chaîne Gnosis, la couche 2 d'Ethereum (chaîne latérale EVM).

L'AGVE est un token unique car il permet l'achat et la transaction de services agricoles dans toutes les chaînes de production de l'industrie de l'agave.

L'Agave est un protocole d'argent et de prêt sans garde qui s'appuie sur le réseau blockchain.


Qu'est-ce que Hundred Finance?

---

Hundred Finance est une autre application de finance décentralisée (DeFi) sur la blockchain.

Hundred Finance est une application décentralisée (dApp) qui vous permet de prêter et d'emprunter des cryptocurrences.

Cette app blockchain possède son jeton de crypto-monnaie pour les transactions et les échanges, le jeton HND.

Le taux d'intérêt sur HND est calculé et exprimé par jeton sous forme de rendement annuel en pourcentage (APY).

Hundred Finance est un protocole multi-chaîne qui s'intègre aux oracles Chain Link. L'information assure la santé et la stabilité du marché avec une spécialisation dans le service des actifs à longue traîne.

Hundred Finance est le successeur de Percent Finance.

Depuis son lancement dans la technologie blockchain, Hundred Finance a collaboré avec Chainlink Oracle, Beethoven, Immunefi, Spookywap, et d'autres.

Après nous être familiarisés avec AGVE et HND en tant qu'applications blockchain et jetons crypto, plongeons dans l'attaque qui a vu la perte de 11 millions de dollars sur les deux plateformes blockchain.


L'attaque d'Agave et de Hundred Finance

---

L'espace des crypto-monnaies a été mis en ébullition lorsque les administrateurs d'Agave et de Hundred Finance ont tweeté que leurs portefeuilles respectifs avaient été exploités.

Le pirate aurait dérobé environ 11 millions de dollars en Wrapped ETH (wETH), Wrapped BTC (wBTC), chain link (LINK), USD Coin (USDC), Gnosis (GNO) et wrapped XDAI ( wxDAI).

Le piratage était une attaque de réentraînement sur Agave et Hundred Finance.

L'attaque par ré-entrance est une faiblesse du langage de programmation Solidity. Cette vulnérabilité permet à un pirate de tromper le contrat d'un protocole pour effectuer un appel direct mais externe à un contrat non fiable.

L'appel (réel) n'est effectué qu'une seule fois ; ensuite, le pirate utilise le contrat suspect pour effectuer des appels répétés selon un schéma similaire et siphonner les fonds du protocole.

Dans le cas d'une attaque contre Agave et Hundred Finance, l'enquête a montré que le pirate a lancé un bug de réentraînement sur les deux applications blockchain.

Ce bug a immédiatement permis l'exploitation d'un prêt flash. Comme le modèle est le même, le bug a permis aux pirates de continuer à emprunter aux protocoles.

De plus, le pirate faisait des appels continus pour retirer des fonds sans fournir de garantie supplémentaire.

L'enquête a finalement montré que l'adresse du pirate avait envoyé plus de 2 100 ETH, pour un total d'environ 5,5 millions de dollars, à un blanchisseur de cryptomonnaies.

Les experts ont estimé que plusieurs raisons pouvaient être à l'origine de l'attaque. En voici quelques-unes?


Les raisons du succès de l'attaque

---

Les raisons du succès de l'attaque étaient relativement simples et faciles à détecter. Elles comprennent ;

Les développeurs d'Agave ont rendu possible l'utilisation de jetons avec callbacks pour les transactions sur sa plateforme.
Les jetons pontés officiels sur Gnosis ne sont pas standard. Ces jetons ont un crochet qui notifie le récepteur du jeton à chaque transfert, et les pirates peuvent toujours recevoir cette notification et passer immédiatement à l'action.


Conclusion

---

L'attaque contre Agave and Hundred Finance n'est pas la première et ne sera pas la dernière.

Peu de temps avant l'attaque par réentraînement d'Agave et Hundred Finance, Cream Finance, une application DeFi similaire, a été victime d'une attaque par réentraînement de prêt. L'attaque sur Cream Finance a conduit au siphonage d'environ 19 millions de dollars.

L'impact de l'attaque est toujours énorme. Lorsque Agave a annoncé l'attaque, son cours a chuté de 25 %, tandis que Hundred Finance a chuté de 5,8 %.

Bien que ces événements soient malheureux, il est opportun que les développeurs améliorent leur protection contre la ré-entrance. Les développeurs devraient modifier le protocole de gouvernance pour empêcher les jetons avec des callbacks pour les transactions.



Auteur: Valentin A., chercheur Gate.io
Cet article ne représente que l'opinion du chercheur et ne constitue pas une suggestion d'investissement.
Gate.io se réserve tous les droits sur cet article. La rediffusion de l'article sera autorisée à condition que Gate.io soit référencé. Dans tous les cas, une action légale sera entreprise en raison de la violation des droits d'auteur.