Getting your Trinity Audio player ready...
|
Une vulnérabilité dans une version antérieure de l’agrégateur de rendement DeFi Yearn Finance a été exploitée le 13 avril, entraînant la perte de 11,6 millions de dollars de liquidités sur le protocole iearn. Les attaquants ont réussi à émettre 1,2 quadrillion de jetons en exploitant le jeton yUSDT, qui est un jeton générant des rendements et qui suit le solde du stablecoin USDT d’un utilisateur déposé dans les contrats Yearn.
Ce matin, des rapports suggéraient que Aave, un autre protocole DeFi populaire, avait également été exploité. Cependant, de nombreux membres de la communauté ont rapidement expliqué que le protocole n’avait été utilisé que pour échanger une série de jetons et n’avait pas été directement affecté. Le délégué Marc Zeller a rapidement calmé le fud sur Twitter, alors que le fondateur d’Aave, Stani Kulechov, a également confirmé la même chose :
Une mauvaise configuration vieille de 1 000 jours à l’origine du hack
Selon le chercheur de Paradigm, Samczsun, la vulnérabilité dans le jeton yUSDT de Yearn était due à une mauvaise configuration impliquant le jeton iUSDC de Fulcrum. Fulcrum est une plateforme DeFi qui permet aux utilisateurs d'emprunter et de prêter des ETH et d’autres jetons ERC-20. Le jeton yUSDT a été mal configuré pour utiliser le jeton iUSDC de Fulcrum au lieu du jeton iUSDT, ce qui a conduit à l’exploit impactant principalement les holders de jetons yUSDT et les participants aux pools yUSD de Yearn Finance.
Les dégâts causés par l’exploit étaient limités, car seules la version antérieure de Yearn Finance, iearn, était touchée. Cela a été confirmé par l’un des développeurs seniors du projet, Storm Blessed. Cependant, les attaquants ont déjà commencé à retirer des ETH via le mixeur Ethereum Tornado Cash. Selon PeckShield, environ 1 000 ETH, d’une valeur d’environ 2 millions de dollars, ont été retirés jusqu’à présent.
2 faits intéressant sont à noter dans cette attaque. Premièrement, des utilisateurs du protocole Aave ont bénéficier de l’attaque flash loan, alors que le hacker a du rembourser leurs prêts pour mettre son plan en place, faisant quelques heureux dans la manœuvre. Deuxièmement, le hacker aurait pris le temps de créer un jeton ERC-20 nommé FUCK YEARN en plus de créer une paire avec ETH et d’y ajouter de la liquidité pour donner vie au token.
L’exploit de iearn, l’ancienne version de Yearn Finance nous rappelle le nombre croissant d’attaques dans le secteur DeFi. Alors que l’industrie continue de s’étendre et de gagner en popularité, la sécurité reste une préoccupation majeure pour les développeurs et les utilisateurs. Pour maintenir la confiance et assurer la durabilité de l’écosystème DeFi, il est essentiel que les protocoles accordent la priorité aux mesures de sécurité et surveillent de près les vulnérabilités potentielles.