10,8 M $ volés, développeurs impliqués dans un prétendu contrat intelligent “Tirage de tapis”

Un autre projet de financement décentralisé (DeFi) a été mis à mal mardi, avec quelque 10,8 millions de dollars de fonds d’investisseurs volés en raison d’une porte dérobée cachée dans les contrats intelligents du projet.

Formulateur Finance – un soi- clone de la récolte et Yearn Finance construit par les programmeurs pseudonyme – avait ses contrats vidés de valeur 750 000 $ de Wrapped Bitcoin (WBTC), 4,8 millions $ éther , 5 millions $ dai et un petit assortiment d’autres jetons, selon un adresse associée à l’exploit.

Et bien que l’attaque ressemble à d’autres tirages ou exploits DeFi, effectués à maintes reprises en 2020, cet acte de vol est différent en raison de l’apparente con que les développeurs de Compounder jouaient, selon Robert Leshner, fondateur du protocole de prêt Compound Finance .

Dans une interview téléphonique, Leshner a déclaré que Compounder ressemblait à n’importe quel autre projet DeFi agricole à rendement qui a pris d’assaut l’industrie de la crypto-monnaie l’été dernier. Mais les développeurs s’étaient faufilés dans une fonction d’appel qui leur permettait de retirer tous les fonds du projet – une action qu’un projet de financement décentralisé ne devrait jamais autoriser – chaque fois qu’ils jugeaient le butin suffisamment important. 

Tirage de tapis

Ce seuil a apparemment été atteint mardi, même si les contrats symboliques de Compounder n’ont été créés que le 10 novembre, selon Etherscan .

Leshner a qualifié le rug-pull de «l’un des plus grands» exploits de crypto-monnaie ciblés de mémoire récente; un exploit catégoriquement différent des autres exploits DeFi en raison de sa fin de partie patiente. Il allègue également que Compounder «s’est fait passer pour [le nom de Compound Finance]» afin d’attirer plus de victimes.

Un groupe d’investisseurs Telegram enquête actuellement sur des mesures juridiques contre les développeurs, bien que peu d’informations soient connues sur les visages derrière Compounder. Un investisseur qui prétend avoir perdu 1 million de dollars en fonds offre une prime de 50 000 dollars pour des informations menant à la saisie de fonds volés. 

Le jeton natif de Compounder, CP3R, est en baisse de 98,8% au cours des dernières 24 heures et se négocie maintenant à 0,24 $ .

Les audits de contrats intelligents ne suffisent pas

Compounder a été audité par Solidity Finance. Les audits sont généralement considérés comme un acte de bonne foi dans l’ouest sauvage de DeFi. Solidity Finance a déclaré qu’elle avait trouvé le contrat à durée limitée en question dès la mi-novembre et l’avait signalé aux développeurs du projet. Il offrait également de la documentation .

Malheureusement, Compounder était non seulement au courant de la fonction, mais avait apparemment des plans pour cela. 

“L’équipe Compounder a échangé les contrats de stratégie sûrs et audités et les a remplacés par des contrats malveillants ‘Evil Strategy’ qui leur permettaient de voler les fonds des utilisateurs”, a déclaré Solidity Finance dans un message Telegram, ajoutant:

«Ils l’ont fait grâce à un horaire public, bien que clairement non surveillé, de 24 heures. Cette question de contrôle centralisé par l’équipe du C3PR a été soulevée dans notre rapport d’audit et nos discussions avec leur équipe. L’équipe avait le pouvoir de mettre à jour les pools de stratégies et elle l’a fait ici de manière malveillante pour voler les fonds des utilisateurs. » En d’autres termes, le verrouillage horaire en question a été signalé par l’audit, mais n’a pas été communiqué en dehors de l’équipe de développement.

De nombreux investisseurs DeFi apprennent que les audits ne correspondent pas nécessairement à un protocole sécurisé. Akropolis Finance est un autre exemple récent. Il a été piraté plus tôt le mois dernier pour 2 millions de dollars de dai, même si ses contrats avaient été audités par deux entreprises. 

En effet, les audits sont de différentes saveurs. Solidity Finance a déclaré qu’il recherchait principalement des «attaquants externes». Le cabinet prévoit de fournir plus d’informations sur d’éventuels «risques découlant du contrôle des développeurs» à l’avenir.

Laisser un commentaire