Attaque DeFi – Le protocole Yearn (YFI) perd 11 millions de dollars

La DeFi est un univers aussi excitant que dangereux. Une sorte de construction en temps réel de ce que pourrait être la finance de demain, version cryptomonnaies et décentralisation. Mais sans casque de chantier et sans une réelle vision globale. Une expérience qui enthousiasme certains investisseurs autant qu’elle reste totalement hermétique pour d’autres, quand ce n’est pas les deux à la fois. Et qui souffre de cette image de terrain de jeux privilégié pour les amateurs de détournement de fonds. 

Il n’est pas possible de parler de hacking lorsqu’on aborde les nombreuses attaques dont est victime la DeFi. Le terme le plus approprié est une exploitation de faille (exploit). C’est-à-dire la mise en œuvre d’une procédure de l’un de ses protocoles afin de générer et détourner des sommes colossales en profitant d’un bug. Des portes d’entrée qui doivent être découvertes et fermées par les structures d’audit qui en valident le fonctionnement. Mais cela n’est visiblement pas suffisant. 

Et les montants de ces attaques ne cessent d’augmenter pour se comptabiliser dorénavant en millions de dollars. La plupart du temps en procédant à la vidange expresse et radicale de pools de liquidité. Et au transfert des fonds sur une adresse qui permet ensuite de les déverser sur les plateformes décentralisées (DEX). Le tout en entraînant une chute parfois vertigineuse du cours de la cryptomonnaies liée au protocole concerné. 

Attaque du protocole Yearn.finance 

Un scénario qui se répète avec une régularité qui commence à ressembler à une mauvaise blague. Mais qui – expérience oblige – ne signe pas forcément la mort du protocole qui en est la victime. Il suffit de voir les derniers résultats du projet bZx (BZRX) pourtant touché par plusieurs de ces détournements de fonds à la fin de l’année dernière. Ce qui rassure autant que cela peut inquiéter, car ces vols semblent avoir été relégués au rayon des faits divers de l’univers de la DeFi.

Et le dernier en date vient d’être signalé. Il concerne le projet phare du nom de Yearn.finance. Ce protocole à l’origine du jeton YFI qui a réussi l’exploit de détrôner le Bitcoin dans le domaine du prix le plus élevé jamais atteint. Cela avec un ATH situé à 43 700$ environ en septembre dernier qui n’a toujours pas été battu. Et dont le fondateur Andre Cronje est en train de bâtir le tout premier empire de la courte histoire de la DeFi.

11 millions de dollars envolés

Une attaque reportée il y a maintenant huit heures dans une courte notification publiée sur le compte Twitter officiel du protocole Yearn.finance. Cette dernière fait état d’un exploit qui concerne l’un des coffres-forts (vault) de sa V1 qui contenait des jetons yDAI. Sans faire aucune mention du montant de ce préjudice ou de plus de détails. Et pas plus de précisions depuis…

« Nous avons remarqué que le coffre v1 yDAI a subi un exploit. L’exploit a été atténué. Rapport complet à suivre. » – Yearn.finance

C’est en se tournant vers l’un des développeurs du projet que l’on peut glaner plus d’informations sur cette affaire. Ce qui confirme la cible de cette attaque, mais donne également une idée du montant concerné. Soit environ 2,8 millions de dollars envolés et un préjudice de 11 millions de dollars au total pour le coffre-fort concerné. Ce qui pourrait impliquer que l’attaquant n’a pas été en mesure de retirer l’intégralité de son butin. Mais en fait non…

« Le coffre-fort Yearn DAI v1 a été exploité. L’attaquant est parti avec 2,8 millions de dollars et le coffre-fort a perdu 11 millions de dollars. Les dépôts sont désactivés pour les vaults DAI v1, TUSD, USDC, USDT pendant toute la durée de notre enquête. » – Banteg

Une procédure visiblement très complexe exposée brièvement sur Twitter par le fondateur du protocole Aave. En effet, il semblerait que cette dernière ait été réalisée grâce à plus de 160 transactions imbriquées. Le tout pour un montant en frais de transactions (gas) qui dépassent les 8,6 millions de dollars. 

Ce qui met en évidence de manière assez ironique la douloureuse ardoise induite pas l’explosion record des frais sur le réseau Ethereum. Et qui dans ce cas représentent le ratio aberrant de 75% du montant détourné. Le tout à destination des mineurs qui deviennent de toute évidence les plus gros bénéficiaires dans cette affaire.

Le cours du YFI s’effondre

Et ce qui devait suivre n’a pas manqué de se produire. Cette annonce a immédiatement entraîné une forte baisse sur le cours du jeton YFI. Ce dernier est brièvement repassé sous la barre des 30 000$ après une chute de plus de 20% en seulement quelques heures. Il se trouve actuellement à un peu plus de 32 200$ au moment de la rédaction de cet article.

Un mouvement qui ne remet cependant pas en question la position actuelle du jeton YFI. Ce dernier toujours en phase de consolidation dans un range situé entre 27 000$ et 35 000$ environ. Avec un marché toujours en attente d’une cassure de la résistance des 40 000$ qui pourrait ouvrir la porte à de nouveaux sommets. Et ce n’est visiblement pas une attaque de quelques millions de dollars qui va y changer quelque chose. 

Cette exploitation de faille est tout de même la troisième à toucher un protocole de ce conglomérat de la DeFi qu’est en train de construire Yearn. Le tout en moins de deux mois. La dernière en date concernait la plateforme SushiSwap il y a seulement quelques jours. Le tout pour un butin dérobé de « seulement » 81 ETH, soit environ 110 000$ au moment de sa réalisation. Ce qui pourrait à terme faire de cet empire en construction la plus grosse source de revenus illicites de ce début d’année pour les « petits malins » de la DeFi.