Le DeFi en chute libre – Balancer victime d’une attaque à 500 000$

30 juin 2020 - 09:21

Temps de lecture : 3 minutes

Par Hugh B.

L’univers de la Finance Décentralisée (DeFi) se développe à grande vitesse. Un mouvement fortement accéléré récemment qui commence à ressembler à une explosion. Les leaders se battent pour la première place tandis que de nombreux nouveaux projets s’installent dans ce paysage de la finance de demain. Mais cela ne se fait pas sans heurts.  

La DeFi est en effervescence depuis le lancement du COMP de Compound. Son cours s’est envolé au-dessus des 1,6 milliard de dollars cette dernière semaine. Elle avait pourtant bien souffert de la chute du cours d’Ethereum lors du krach de mi-mars. Mais elle semble se relever de cette épreuve plus forte encore. Une bonne nouvelle, car il semble que d’autres problèmes s’annoncent. 

Chute du cours de la DeFi suite au hack de Balancer

En effet, ce matin sur le site DefiPulse la courbe jusque là haussière de l’ensemble de la DeFi indiquait une forte chute de plus de 50% de son cours. Un mouvement qui divise par deux la valeur totale bloquée dans son univers pour arriver à moins de 800 millions de dollars. Un effondrement très certainement en relation au récent hack du protocole Balancer qui aura ébranlé une nouvelle fois cet univers. Ou tout simplement l’éclatement de la bulle spéculative enclenchée par le lancement du COMP. Quoi qu’il en soit, ce mouvement va ébranler une nouvelle fois la DeFi

Hack du protocole Balancer

Ce week-end, une attaque malveillante à visée le protocole de market maker du nom de Balancer. Une toute jeune formule qui a vu le jour en mars 2020 et qui peut être comparée à Uniswap et son système d’échange direct de jetons ERC20 développés sur la blockchain d’Ethereum. Un tout nouvel arrivant dans cet univers qui a semble-t-il offert une porte d’entrée à un utilisateur peu scrupuleux et surtout très bien informé.

Cette structure venait elle aussi de lancer son jeton dédié du nom de BAL. Une cryptomonnaie comparable au COMP de Compound de type Liquidity Mining qui est générée lors de l’utilisation des offres financières d’une structure de la DeFi


Le protocole Balancer de la DeFi

Une attaque méthodique

L’attaque a clairement été perpétrée par un spécialiste des solutions de smart contracts. Cela car la procédure utilisée nécessitait des connaissances pointues dans ce domaine. En effet, une faille du système a été exploitée de manière à détourner l’équivalent de 500 000$ en une seule et unique transaction. Cela grâce au détournement ingénieux du principe des flash loans qui sont des prêts instantanés dont l’emprunt et la restitution des fonds ne forment qu’une seule transaction. Un système qui avait été la porte d’entrée d’un précédent hack du protocole bZx au début de l’année. 

L’auteur de cette attaque a contracté un prêt sur le protocole dYdX pour un montant de 104 000 ETH. Il les a ensuite utilisés sous la forme de wETH pour les échanger à de nombreuses reprises contre du Statera (STA). Cela en entraîné la destruction répétée de 1% de cette transaction au point d’en faire baisser l’offre, sans que Balancer ne s’en aperçoive. Une opération qui a fait gonfler artificiellement le prix du STA. Il en a alors profité pour vider des pools de liquidités en ETH, LINK, SNX et wBTC avant de disparaître avec son butin encaissé en ETH par le biais d’Uniswap.

Une faille connue

Il semble que l’équipe de développement de Balancer avait été informée de cette faille plus de deux mois avant cette attaque par la structure Hex Capital. Son avertissement semblait décrire très précisément ce qui s’est déroulé ce week-end et datait effectivement du 6 mai. Il semble que cela soit devenu une liste de courses à destination d’un utilisateur soucieux d’en tester la véracité. 

Attaque de Balancer DeFi

Une information qui est à l’origine de reproches de la part de l’équipe de Statera qui y voit un manquement grave au principe de sécurité censé protéger l’ensemble des acteurs de la DeFi. Une information effectivement confirmée par le directeur de Balancer qui s’en excuse sur Twitter. Mais dans le même temps, il semble chercher à reporter la faute sur le principe même des flash loans qui sont déjà à l’origine de plusieurs attaques de ce type. 

L’équipe de Statera reproche à Balancer de ne pas avoir averti correctement ses utilisateurs du fait que son offre n’était en fait qu’une version encore en cours de test. Et elle regrette d’avoir accepté de se mettre en relation avec son offre. Mais il est un peu tard. Quoi qu’il en soit, il semble plus qu’impératif de sécuriser ces formules de prêts instantanés et de privilégier la sécurité, même si elle doit se faire au détriment d’un partie de la rapidité de développement de la DeFi. Car cela pourrait tout aussi bien devenir l’origine de sa chute.

Recevez le top 3 de l'actualité crypto chaque dimanche