AVAX – Première attaque d’envergure d’un protocole DeFi du réseau Avalanche

Il y a souvent des passages obligés pour pouvoir prétendre faire partie intégrante d’un groupe. Et cela passe parfois par la mise en place de ces bizutages aussi inutiles qu’humiliants. Une réalité qui semble malheureusement s’appliquer à l’univers de la DeFi. Avec comme rituel initiatique plus que douteux la gestion de ces attaques à répétition qui en perturbent le développement. Des procédures malveillantes qui se déplacent la plupart du temps avec les mouvements migratoires des liquidity provider de cet écosystème. Et voici venu le tour du réseau Avalanche (AVAX).

Mise à jour (15 septembre) : selon certaines données, il semble que le montant de cette attaque ne concerne finalement « que » l’équivalent de 170 ETH, soit environ 550 000$ au moment des faits.

La forte fréquence des attaques dont est victime l’univers de la DeFi ne connaît ni frontière ni période de trêve. Au point de se demander si elles ne pourraient pas finir par devenir le mètre étalon de son adoption effective. Une unité de mesure permettant d’estimer la distance qui sépare cette économie numérique de son utilisation à grande échelle que tout le monde espère. Cela en scrutant avec espoir ce moment où la balance penchera en faveur d’un nombre d’actualités plus important qui ne parle pas d’une attaque de l’un de ses protocoles. Et du vol de plusieurs (dizaines de) millions de dollars en cryptomonnaies.

Mais cela n’est visiblement pas pour tout de suite. Car la fréquence de ces attaques ne faiblit pas et cela quel que soit l’écosystème concerné. Une réalité qui semblait jusque là épargner le réseau Avalanche qui figure sans aucun doute parmi les plus sûrs de ce secteur. Mais c’était sans compter sur l’ingéniosité de ces attaquants et amateurs de failles dans le code des protocoles. Une expérience que vient de vivre à ses dépens – et à ceux de ses investisseurs – le projet de yield farming et d’Initial DEX Offering (IDO) Zabu Finance.

3,2 millions de dollars envolés

Cette attaque d’envergure est une première pour le réseau Avalanche. Et la politique du verre à moitié plein pourrait permettre de dire que le butin dérobé reste modeste. En tout cas si l’on se réfère à certains records récemment enregistrés dans le domaine. Avec en tête l’affaire du projet Poly Network aux multiples rebondissements plus improbables les uns que les autres. Et une ardoise de 611 millions de dollars restituée par un hacker qui s’est vu proposer un emploi en retour. Ce qui n’a pas l’ait d’être la tendance dans le cas du protocole Zabu Finance. Mais tout reste possible dans le domaine…

En cause, la vidange d’un pool de liquidité contenant des jetons SPORE du projet de reflect token hallucinogène Spore Finance. Cela en utilisant une faille visiblement déjà connue et reposant sur la taxe de transfert de cette cryptomonnaie. Autant dire que le chemin était déjà tout tracé pour le hacker – avec notice d’utilisation à la clé – vers ce butin final de 3,2 millions de dollars.

Le jeton ZABU s’effondre de 99%

Une attaque intervenue ce dimanche. Et qui a visiblement débuté par des retraits anormaux du pool de liquidité contenant des jetons SPORE. Ce qui a immédiatement déclenché une réaction de l’équipe de développement du projet Zabu Finance. Mais pas forcément de façon très rassurante lorsqu’ils ont expliqué avoir « besoin d’aide » quelques instants plus tard.

« Zabu Team Wallet n’a pas vendu un seul Zabu. Nous sommes sous le coup d’un exploit, peut-être du pool Spore. Nous enquêtons sur l’exploit. Besoin d’aide. » – Zabu Finance

Avec comme effet immédiat, l’effondrement du prix de sa cryptomonnaie ZABU. Cette dernière à la valeur déjà pas très élevée, mais qui a tout de même réussi à voir son prix chuter de plus de 99%. Cela pour aller s’écraser quelques zéros plus bas sous la barre des 0,00002$ environ. Le verre à moitié plein pourrait permettre de dire que la hausse de plus de 94% de ce matin est une bonne nouvelle. Mais elle ne permet au ZABU d’afficher qu’un prix de 0,000047$ par unité. Soit deux petits zéros de plus qui font encore 100 fois moins qu’il y a tout juste 36 heures.

Une V2 du projet Zabu Finance à venir ?

Une situation qui semble se diriger vers l’édition d’une V2 de cette cryptomonnaie. Un jeton dont le nom reste visiblement encore à déterminer par la communauté. Et qui devrait s’accompagner d’un snapshot pré-hack pour permettre de rembourser les victimes de cette affaire. Ainsi que d’une solution pour les investisseurs entrés dans cette course après les faits. Mais peut-être que les 94% de hausse devraient suffire à en consoler un certain nombre !

« Le processus d’instantané (snapshot) peut prendre du temps, car nous devons calculer les soldes des détenteurs de Zabu, des Farm Stakers (pour les pools liés à Zabu) et des AutoFarm Stakers (pour les pools liés à Zabu). Nous pourrions avoir besoin d’aide (…) pour ce travail. Ensuite, la Ferme V2 sera ouverte. » – Zabu Finance

Il reste à espérer que cette attaque ne soit qu’un cas isolé sur le réseau Avalanche. Très certainement motivée par la récente campagne d’incitation de 180 millions de dollars à l’attention des amateurs de DeFi. Car il ne faut pas se leurrer, les attaquants ne sont que la seconde vague qui accompagne inévitablement l’arrivée des liquidity providers de la première heure. Et ils ne devraient pas tarder à se déplacer sur le tout récent réseau Arbitrum au développement exceptionnel.