Attaque en cours – Voler 24 millions de dollars en 7 minutes grâce au Yield Farming

La liste des attaques dont a été victime la DeFi vient de s’allonger une nouvelle fois. Cela amenant le score de ce type d’activité malveillante et très lucrative vers de nouveaux sommets. Et même si le chiffre exact n’est pas encore officiellement connu, les estimations font état de plusieurs dizaines de millions de dollars envolés. Cela sous la forme devenue classique de l’exploitation d’une faille. 

Cette information concerne donc une nouvelle fois la DeFi. Mais dans le domaine de son agriculture de rendement, plus connue sous le nom de Yield Farming. Cette activité maintenant passée de mode qui a été le moteur de son explosion spéculative depuis le début de l’année. Mais également de ce que certains ont envisagé peu être un peu trop vite comme son effondrement en cours. Cela dans le style très apocalyptique de l’explosion de la bulle des ICO de début 2018. 

Mais la DeFi se porte encore plutôt bien. En tout cas si l’on se penche sur la courbe de la valeur totale bloquée (TVL) dans ses multiples protocoles. Un chiffre qui reste positionné dans la zone des 12 milliards de dollars. Et qui ne montre pas encore réellement de renversement de tendance effectif et notable.

Harvest.Finance victime d’une attaque

Cette information pourrait presque passer pour une bonne nouvelle pour le protocole bZx. Cela car il n’en est pas encore une fois la cible. Il s’agit en effet d’un nouveau venu dans ce club très select des victimes d’attaques malveillantes de l’univers de la DeFi. Ce qui commence à ressembler de plus en plus à une formule de bizutage assez malsaine dans le domaine. Et à un manque de sérieux évident de ses acteurs dans le domaine de la sécurité de leurs offres.

La victime de cette nouvelle attaque est le protocole du nom de Harvest.finance. Une toute jeune formule à destination du Yield Farming qui s’accompagne de la cryptomonnaie FARM. Cette dernière étant un pur produit de la folie de cette culture de rendement, avec un cours qui est monté à plus de 5000$ lors de son lancement début septembre. Et qui se trouve actuellement en dessous de 100$ suite à un effondrement de 60% de la valeur de son cours. 

Une chute directement liée à cette attaque qui est toujours d’actualité au moment de la rédaction de cet article. Le protocole Harvest.Finance fait état de ce qu’elle nomme une « attaque économique. » Et le montant impliqué dans cette affaire n’est toujours pas réellement connu. Certaines sources faisant étant de 25 millions de dollars là où d’autres parlent de 500 millions qui pourraient être concernés.

Un rendement agricole très rentable

Cela fait très certainement de l’auteur de cette attaque l’exploitant du principe de Yield Farming le plus efficace et riche du domaine. Au moins en termes de rendement effectif. Cela si l’on ne prend pas trop le temps de juger de la méthode plus que douteuse. 

Mais c’était après tout devenu le principe de fonctionnement quasi généralisé de la DeFi dernièrement. Cela sur fond de dérapages très nets dans la direction du scam par certains de ses « leaders. »

Cependant, la mode est capricieuse et changeante. Et ce sont actuellement les jetons non fongibles (NFT) qui occupent le devant de la scène spéculative de l’univers des cryptomonnaies. Un domaine dans lequel le protocole Aave tente de réaliser une percée avec son projet Aavegotchi en cours de développement. Il est vrai que cette nouvelle bulle qui n’a pas (encore) eu à faire face à ce genre de déconvenues.

Une exploitation de faille

La procédure de cette attaque entre dans le cadre de ce que l’on appelle un exploit. C’est-à-dire l’utilisation malveillante d’une faille dans le code ou le processus d’utilisation du protocole. Cela à des fins de détournement de fonds. L’équipe du projet Harvest.finance communique en temps réel sur son compte Twitter. Cela pour tenter de tenir sa communauté informée des avancées de cette affaire.

Et il semble que tout cela ait été une nouvelle fois réalisé à l’aide d’un prêt de type flashloan. Ces outils financiers controversés du protocole Aave qui permettent de réaliser plusieurs transactions sous la forme d’une seule opération. Le tout en seulement quelques minutes. 

« Comme pour les autres attaques de type flashloan, l’attaquant n’a pas laissé le temps de réagir. Il a effectué l’opération en 7 minutes de bout en bout. Le portefeuille de l’attaquant est sorti en utilisant du renBTC. » – Harvest.finance

L’attaquant serait identifié

C’est une véritable guerre numérique qui est en train de se jouer en ce moment même. Cela en particulier avec la récente publication des adresses utilisées par l’attaquant pour récupérer son butin sous la forme de renBTC. Le tout accompagné d’une prime de 100 000$ à « la première personne ou équipe qui réussi à contacter l’attaquant. » Ce qui a été rapidement suivi par l’annonce de certains internautes comme étant en possession de son identité. 

« Nous ne sommes pas intéressés par un doxxing (divulguer l’identité, ndlr) de l’attaquant, vos compétences et votre ingéniosité sont respectées. Il suffit de rendre les fonds aux utilisateurs. » – Harvest.finance

Les dernières informations en date font état de la récupération d’une partie des fonds issus de cette attaque. Soit la somme de presque 2,5 millions de dollars retournée aux développeurs du projet sous la forme d’USDT et d’USDC. Ce qui pourrait être le début d’un dénouement plutôt positif si ce mouvement se poursuit. Car pour le moment cela ne représente que 10% de l’option la moins pessimiste de cette histoire.

L’équipe derrière le projet Harvest.finance annonce d’ores et déjà que les fonds récupérés seront redistribués aux déposants concernés. Cela au prorata et à l’aide d’un instantané de la situation précédent l’attaque. Il est important de noter leur réactivité et leur efficacité dans cette affaire.