Attaque DeFi – Une ardoise de 2 millions de dollars pour le protocole Akropolis

La course à l’innovation qui porte actuellement le développement de la DeFi dessine l’avenir de la finance numérique. Mais il semble que les coureurs ne s’encombrent pas assez de la musculature de leurs protocoles. Car dans le domaine ce n’est pas le passage de la ligne d’arrivée qui compte le plus. Mais bien la capacité du projet à effectuer le parcours sans encombre. Ce qui commence même à devenir le principal exploit – sans mauvais jeu de mots – dont ils pourraient de vanter. 

La liste des projets de la DeFi ayant souffert d’une attaque s’allonge encore cette semaine. Et ce qui pouvait passer pour de la malchance commence à ressembler à un happy hour organisé tout spécialement pour les utilisateurs malveillants. Car la répétition presque chronométrée de ces détournements de fonds ne peut plus être ignorée par les équipes de développement. Et il serait peut-être temps de s’organiser pour y faire réellement face.

Le procédé utilisé par les attaquants repose toujours sur le même genre de technique. Et c’est bien ce qui rend tout cela aussi énervant avec le temps. Car il commence à devenir difficile de se prétendre victime d’un processus qui semble se répéter à chaque fois, au moins dans les grandes lignes. Ce qui soulève une nouvelle fois la question d’identifier le véritable ennemi de la DeFi. 

Attaque du protocole Akropolis

Cette dernière attaque a touché le protocole de prêt du nom d’Akropolis. L’opération s’est déroulée hier à 14:36 GMT très exactement. Et elle a été rendue officielle quelques heures plus tard sur le compte Twitter  du projet. 

« Nous avons récemment identifié un piratage exécuté sur un ensemble de contrats intelligents dans les « savings pools » qui ont été audités deux fois. Nous travaillons avec des spécialistes de la sécurité et des fournisseurs d’analyses on-chain et avons l’intention de faire une déclaration plus détaillée sous peu. Merci pour votre patience. » – Akropolis

Et comme à chaque fois cette opération n’a pris que quelques minutes. Cela grâce à l’utilisation tout aussi ingénieuse que malveillante d’un prêt de type flashloan. Ces outils financiers très controversés, car au centre de la quasi-totalité des attaques de ce genre. Mais qui sont pourtant l’une des principales et incontournables innovations de l’univers de la DeFi.

2 millions de dollars envolés

Tout cela entre dans le cadre de ce que l’on appelle un « exploit. » Ce qui n’est pas à proprement parler un hacking. Car la procédure de ces attaques repose sur l’exploitation d’une faille afin de profiter d’une défaillance du système. Une porte d’entrée qui existe déjà, mais que l’on ne peut ouvrir qu’à l’aide d’une grosse quantité de liquidités. Le tout dans le but de détourner les fonds détenus dans les pools des protocoles ainsi visés. 

Et c’est très exactement ce qui est arrivé au projet Akropolis qui n’a visiblement pu que constater les dégâts. Cela sous la forme d’un siphonnage en règle de ses réserves de stablecoins qui se trouvaient dans des pools yCurve et sUSD. Le tout pour un montant actuellement estimé à environ 2 millions de dollars en DAI. 

« Ces pools avaient été audités par deux cabinets indépendants. Cependant les vecteurs d’attaque utilisés dans l’exploit n’ont été identifiés dans aucun des deux audits. » – Akropolis

Akropolis tente de réagir

Selon les données du site Etherscan les fonds se trouvent toujours sur l’adresse de destination de cette attaque au moment de la rédaction de cet article. Et leur mise en mouvement éventuelle pourrait permettre de tenter d’en identifier le nouveau propriétaire. Cela grâce à la transparence qu’offre la technologie blockchain. Mais rien n’est moins sûr ! 

Raison pour laquelle le protocole Akropolis s’efforce actuellement de rassurer sa communauté. Tout d’abord en assurant que le reste des fonds placés dans ses offres sont en sécurité. 

« L’équipe d’Akropolis travaille actuellement sur un certain nombre de procédures de sécurité. La majorité des fonds sont sûrs. » – Akropolis

Tous les pools contenant des stablecoins sont actuellement mis en pause. Cela afin d’estimer l’ampleur effective de cette attaque et d’en empêcher la poursuite éventuelle. Les exchanges ont été informés de la situation. Et le protocole est de nouveau épluché par des spécialistes en sécurité.

L’équipe du protocole Akropolis a été très réactive. Elle annonce la prochaine publication d’un document post-mortem sur cette affaire. Ainsi que sa volonté de rembourser les utilisateurs ayant subi des pertes lors de cette attaque. Cela « d’une manière qui soit durable pour le projet. » Et en accord avec la communauté avant toute prise de décision finale.