Nereus Finance – 371 000$ volés dans l’attaque d’un protocole du réseau Avalanche

Les protocoles de la DeFi fonctionnent en permanence sur le fil du rasoir, quel que soit le réseau concerné. Car les acteurs malveillants restent à l’affut de la moindre faille permettant de vidanger leurs pools de liquidité. Avec des dégâts numériques qui se comptabilisent en centaines de milliers de dollars de cryptomonnaies détournées, au minimum. Mais une gestion qui en fait dorénavant presque un passage obligé dans ce que les développeurs du projet Nereus Finance appellent, après coup, un « test de combat ». Et de toute évidence, celui-ci est à inscrire au tableau des défaites du réseau Avalanche (AVAX).

À défaut de voir baisser le nombre des attaques dont est victime la DeFi, c’est bien plus leur prise en compte qui a définitivement changé. Et cela passe par une véritable insensibilisation des développeurs et investisseurs face aux sommes astronomiques détournées à chaque fois. Une sorte de fatalité que l’on rebouche, ni vu ni connu, avec des fonds de la trésorerie du protocole. Ou en cherchant à localiser le portefeuille du hacker pour lui mettre la pression… en lui proposant de garder une partie des fonds pour service rendu à la communauté.

Nereus Finance – 371 000$ envolés

Une réalité qui vient de heurter de plein fouet le protocole Nereus Finance développé sur le réseau Avalanche (AVAX). Cela suite à ce qui est un peu trop rapidement défini comme une « attaque flash loan » dont le montant est estimé à 371 000$ au moment d’écrire cet article. Cela suite à un piratage présenté comme « astucieux » par la société de cybersécurité blockchain CertiK, première à être arrivée sur les lieux du crime.

Finance Décentralisée (DeFi)

Prêts flash loan vs centralisation - Qui est le véritable ennemi de la DeFi ?

Hugh B. - 12 Nov 2020 - 10:18

Chaque innovation technologique repose sur une force qui devient le pilier de [...]

Lire la suite >>

Car tout cela s’est produit hier (6 septembre) dans la soirée. Avec le protocole Nereus Finance comme épicentre, et comme principaux « partenaires » la plateforme décentralisée Trader Joe (JOE) et le spécialiste des stablecoins Curve Finance (CRV). Même si ce dernier s’est rapidement désolidarisé de cette liste en précisant ne pas faire partie des « protocoles impactés ». Cela en réponse à la première analyse de la structure CertiK indiquant que « les protocoles sous-jacents étaient impactés ». Mais il semble qu’au final seul Nereus Finance ait réellement souffert dans cette affaire.

« Nous sommes au courant d’un exploit de prêt flash sur le marché AVAX/USDC Joe LP NXUSD. Cet incident est isolé sur un seul marché collatéral et le protocole NXUSD dans son ensemble reste sur-colatéralisé. Nous exécutons un processus de récupération et publierons un post-mortem sous peu. »

Nereus Finance

Nereus Finance – 371 000$ ou 871 000$ ?

Dans les faits, un « exploiteur » a donc souscrit un prêt de type flash loan pour un montant de 51 millions de dollars. Tout en déployant dans le même temps un smart contract personnalisé qui a ensuite tiré parti de cette position ouverte. Cela afin de manipuler le prix du pool LP AVAX/USDC de la plateforme Trader Joe. Ce qui lui a permis de créer par la suite 998 000 unités de NXUSD, le « stablecoin sur-garanti » natif de Nereus Finance. Et cela contre le dépôt d’un collatéral de 508 000$ seulement. Et après avoir échangé son capital contre différentes cryptomonnaies il a finalement réussi à repartir avec un butin estimé à 371 000$. Le tout dans une seule et même transaction… prêt flash loan oblige !

Une opération décrite en détail dans le post mortem publié il y a quelques heures par l’équipe de Nereus Finance. Et une activité très nettement visible sur le cours du stablecoin NXUSD. Ce dernier en train de tenter de revenir à sa « presque » parité avec le dollar.

Avec comme principale conséquence, la création d’une « créance irrécouvrable » d’un montant de 500 000$ qui reste à la charge de Nereus Finance. Cette dernière venant donc s’ajouter aux 371 000$ volés, pour gonfler la facture de cette attaque à plus de 870 000$ ! Car le protocole a été obligé de rembourser cette dette en puisant dans sa trésorerie personnelle de NXUSD. Mais cela n’empêche pas cette somme collatérale de figurer sur la facture finale laissée par son exploiteur.

Stablecoins et MNBC

Curve - Un stablecoin décentralisé crvUSD prévu pour (très) bientôt ?

Hugh B. - 01 Sept 2022 - 09:00

La Finance Décentralisée accuse le coup de la baisse actuelle sur le marché [...]

Lire la suite >>

Quoi qu’il en soit, les développeurs de Nereus Finance affirment que les fonds des utilisateurs ne sont pas exposés. Mais également que son stablecoin NXUSD « continue d’être sur-garanti ». Car, selon eux, leur « protocole de prêt et d’emprunt n’a pas été affecté par cet exploit ». Une bonne nouvelle, toutefois à confirmer dans les faits…