Attaque du protocole Warp.finance – Plus de 7 millions de dollars détournés

19 décembre 2020 - 09:00

Temps de lecture : 3 minutes

Par Hugh B.

La DeFi poursuit son envolée avec une récente hausse de la valeur totale bloquée (TVL) dans son univers. Et comme une piqure de rappel face à cette réalité, une nouvelle attaque de l’un de ses protocoles a été détectée hier. Bien évidemment le prêt flashloan est de la partie. Et le butin se comptabilise encore une fois en millions de dollars. Retour sur ce qui commence à devenir la routine dans le monde de la Finance Décentralisée.

Il semble que la DeFi ne puisse pas se passer de mauvaises nouvelles. Cela même si son actualité enregistre une nouvelle poussée à la hausse de sa TVL sur les derniers jours. Un mouvement qui propulse sa valeur totale au-dessus des 16 milliards de dollars. Cela après une période de plus de deux semaines de consolidation sous la barre des 15 milliards. Soit une hausse de plus de 12% sur la semaine passée. Le tout avec certains de ses principaux jetons qui surperforment le Bitcoin sur le mois dernier. 

TVL de la DeFi à 16 milliards de dollars

Une réjouissance de courte durée qui se voit presque immédiatement éclipsée par une nouvelle attaque de l’un de ses protocoles. Il s’agit cette fois du Warp.finance. Une formule innovante qui permet aux liquidity providers (LP) d’utiliser leurs jetons comme garanties pour des prêts. Le tout bénéficiant d’un audit réalisé il y a peu. Mais visiblement cela n’a plus aucune espèce de valeur dans le domaine…

7,7 millions de dollars détournés

Et comme une mauvaise recette à l’indigestion programmée, cette attaque semble avoir bénéficié de l’utilisation de prêts de type flashloan. Ces outils financiers tout aussi révolutionnaires que controversés qui permettent d’emprunter de grosses sommes en cryptomonnaies sans avoir besoin de garantie. Cela car l’opération qu’ils alimentent doit se solder par un remboursement au sein d’une seule et même transaction.

Et les conséquences de leur utilisation malveillante sont à l’image de la force qu’ils offrent à leurs utilisateurs. Ce qui dans le cas présent se solde par un butin estimé à environ 7,7 millions de dollars au total. Le tout pour un apport initial estimé à 1 ETH préalablement passé au mixeur pour en garantir l’intraçabilité. 

Le tout exposé dans un thread sur le compte Twitter officiel du protocole Warp.finance. Celui-ci promettant plus de détail dans quelques jours. Cela lorsque les développeurs du projet « auront une compréhension plus solide de l’exploit qui a eu lieu. »


Attaque du protocole Warp.finance de la DeFi

« Il y a environ 2 heures, Warp.finance a été attaqué avec un exploit complexe de type flashloan qui a permis à l’utilisateur d’emprunter plus que sa valeur bloquée en collatérale entraînant une perte de fonds en stablecoins. » – Warp.finance

Une attaque complexe et un audit bâclé

La procédure de cette attaque a au moins le mérite d’être innovante. Cela car elle a débuté avec un simple ETH pour au final impliquer des montants supérieurs à 200 millions de dollars. En premier lieu pas le biais de swaps sur la plateforme Uniswap et à destination de trois pools de liquidité. Le tout pour un montant de 180 millions de dollars. Puis en contractant deux prêts avec les services du protocole dYdX pour un total de 51 millions de dollars. 

Une petite fortune qui a ensuite permis à l’attaquant de perturber le système de fonctionnement de Warp.finance. Cela dans le but de détourner des fonds en stablecoins USDC et DAI. Le tous expliqué dans un thread très détaillé publié sur Twitter par un certain Nick Chong.


attaque-warp-defi

Un coup dur pour ce tout jeune protocole de la DeFi à peine âgé de 10 jours. Et probablement la fin d’une aventure qui aura été aussi rapide qu’intense. 

Ou peut être pas, si comme le prétend l’équipe de développement elle est en mesure de récupérer plus de 5 millions de ces dollars volés. Ces derniers se trouvant toujours bloqués dans le vault (coffre-fort) de garantie où ils ont été déposés par l’individu à l’origine de cette attaque. Ce qui pourrait permettre d’indemniser les utilisateurs lésés dans cette histoire

Recevez le top 3 de l'actualité crypto chaque dimanche