Gnosis Chain – Deux attaques DeFi simultanées pour un préjudice de 11,7M$

Les attaques qui frappent le secteur de la DeFi ont très bien intégré son tout nouveau caractère multi-chain. Au point de se demander si l’adoption effective d’un nouveau réseau ne se mesure pas aux préjudices qu’elles imposent à ses protocoles. Car c’est pour la toute première fois la blockchain Gnosis qui vient d’essuyer deux exploitations de failles successives et identiques. Avec comme cibles les projets Agave DAO (AGVE) et Hundred Finance (HND). Et un préjudice total cumulé estimé à 11,7 millions de dollars.

Construire une nouvelle et énième copie de la DeFi sur chaque nouvelle blockchain censée surpasser Ethereum commence à ressembler à une vaste blague. Avec comme seuls véritables gagnants, des liquidity providers qui viennent empocher le montant des incitations déployées pour les attirer, avant de repartir ailleurs. Et cela en espérant passer entre les mailles des filets dressés par des attaquants à l’affut de la moindre faille, dans le but de prélever leur impôt sur le manque de sécurité chronique de protocoles souvent construits à la va-vite.

Une dynamique au sein de laquelle ne se pose même plus la question de la pérennité, du réseau concerné tout autant que du projet attaqué. Car une sorte de fatalité semble désormais permettre d’absorber ces méfaits sans même sourciller. Alors que les montants volés se comptabilisent en millions de dollars. Et que les protocoles visés sont bien souvent de simples copié/collés effectués sans même prendre le temps de relire le code et/ou d’en améliorer la structure. Raison très probable des récentes attaques de Agave DAO et Hundred Finance.

Attaque DeFi – Agave DAO et Hundred Finance

Difficile de ne pas être blasé, face à l’apparente recrudescence d’attaques dirigées contre la DeFi. Avec en début de semaine, le projet Deus DAO (DEUS) victime d’une liquidation massive de ses utilisateurs. Cela suite à la mise en place d’un nouveau contrat de prêt en relation à son stablecoin DEI. Et comme préjudice, une perte de 3 millions de dollars en faveur du responsable de cette opération. Mais également, sur la seule journée d’hier, les protocoles Agave DAO et Hundred Finance sous le coup d’une attaque identique par « réentrance. » Avec cette fois un montant total estimé à 11,7 millions de dollars au profit de ce qui semble être le même assaillant.

« Malheureusement, Hundred et Agave ont tous deux été exploités sur la chaîne Gnosis aujourd’hui. L’équipe Gnosis est au courant, l’enquête est en cours. Tous les marchés Hundred sur toutes les chaînes sont à l’arrêt pour le moment. »

Hundred Finance

Car il ne suffit pas d’être des copies de protocoles reconnus et robustes du réseau Ethereum pour prétendre faire aussi bien ailleurs. Et dans le cas présent, ce sont des forks de Aave (Agave DAO) et Compound (Hundred Finance) qui en font les frais. Ces derniers développés sur la blockchain Gnosis (GNO) présentée comme EVM compatible. Mais visiblement sans l’option de sécurité pourtant mise en place par leurs modèles respectifs. Et cela afin d’éviter que des cryptomonnaies avec des vulnérabilités de « réentrance » puissent être utilisées comme collatéral. Et c’est le drame…

Une attaque de « réentrance » pourtant prévisible

Car c’est précisément cette fonctionnalité que le responsable de l’attaque s’est empressé d’exploiter. Le tout visiblement selon le même mode opératoire que dans le cas de l’attaque du protocole Cream Finance en août de l’année dernière. Avec comme porte d’entrée, une fonction « callAfterTransfer » de toute évidence problématique dans la conception du jeton xDAI. Et comme outil pour y parvenir, l’utilisation des controversés prêts flash loans afin de détenir le collatéral suffisant pour lancer les hostilités.

« Agave (clone AAVE) et Hundred Finance (clone Compound) ont été attaqués sur la chaîne Gnosis. Le jeton xDAI a permis à l’attaquant d’exécuter du code après un transfert (callAfterTransfer). Et cela a pris la forme d’une attaque de réentrance pour chaque protocole.« 

Daniel Von Fange

Cryptomonnaies

Lending - Gagner de l'argent en prêtant ses cryptomonnaies

Hugh B. - 26 Fév 2022 - 15:00

Les applications possibles en relation aux cryptomonnaies sont nombreuses et ne [...]

Lire la suite >>

Dans les faits, cette procédure a pris la forme d’une imbrication de fonctions d’emprunt ajoutées les unes dans les autres. Ce qui a visiblement permis d’augmenter artificiellement le montant ainsi emprunté, avant que le protocole ne puisse mettre le solde de cette dette à jour. Une répétition qui a eu comme conséquence de voir le montant effectivement emprunté devenir largement supérieur au collatéral initialement déposé en garantie. Avec dans le cas du projet Agave DAO, un préjudice estimé à 2116 ETH (environ 5,5 millions de dollars). Et pour Hundred Finance, une douloureuse ardoise de 2363 ETH (un peu plus de 6 millions de dollars).

Effondrement de la cryptomonnaie AGVE

Une actualité qui a tout juste égratigné le cours de la cryptomonnaie HND du protocole Hundred Finance. Cette dernière finalement en hausse de 2% sur les dernières 24h. Mais un constat plus douloureux pour le jeton AGVE d’Agave DAO qui accuse un recul de plus de 23% sur la même période. Avec un prix passé de 70$ à moins de 55$ au moment de la rédaction de cet article.

Mais est-ce vraiment important, dans la mesure ou son graphique affiche un effondrement de plus de 96% depuis son plus haut historique enregistré à 1330$ il y a presque une année en YTD. Laissons ses investisseurs en juger…