La rentrée pour les hackers – L’écosystème des cryptomonnaies et plus particulièrement celui de la finance décentralisée est fréquemment en proie aux attaques. Sur ce terrain, aucune blockchain n’est laissée pour compte. Nereus Finance vient d’en faire l’amère expérience sur la blockchain Avalanche.
370 000$ dollar envolés sur Avalanche
Nereus Finance est un protocole dit de lending, évoluant sur la blockchain Avalanche. Celui-ci propose un marché ouvert qui met en relation épargnants et emprunteurs de manière décentralisée.
Ainsi, les épargnants déposent leurs jetons dans des réserves de liquidités en échange d’un rendement. De leur côté, les emprunteurs peuvent emprunter les fonds déposés en échange de frais. Ce sont ces frais qui servent à payer le rendement des épargnants.
Malheureusement, le 7 septembre, les équipes de l’entreprise Cerik, ont alerté d’une attaque sur le protocole Nereus Finance. Pour rappel, Certik est une entreprise spécialisée dans la sécurité blockchain.
Au total, l’attaquant a réussi à dérober 371 000 dollars en USDC dans les pools du protocole.
>> Jouez la sécurité, inscrivez-vous sur FTX la référence des exchanges crypto (lien commercial) <<
Que s’est-il passé ?
À l’instar de bon nombre d’attaques de protocole DeFi, celle-ci a pu être menée grâce à l’utilisation d’un flash loan.
Quelques heures après les faits, Nereus Finance est revenu sur les détails de l’attaque dans un post mortem.
En pratique, l’attaquant a utilisé un flash loan pour manipuler le prix AVAX/USDC sur Trader Joe. Une fois le prix manipulé, celui-ci a été en mesure de minter 998 000 NXUSD, avec seulement 508 000$ de collatéral.
Cette manipulation a été possible, car le calcul du prix des jetons ne présentait pas de mécanisme de protection contre les manipulations de prix au sein d’un même bloc.
Voyons ensemble les 10 étapes de l’attaque :
L’attaquant a contracté un flash loan de 51 millions d’USDC sur Aave v3 ; Il a échangé 280 000 USDC contre 14 735 WAVAX sur TraderJoe ; L’attaquant a ajouté des liquidités à la pool USDC/WAVAX sur TraderJoe (260 000 USDC et 13 401 WAVAX) ; Il a échangé ses USDC restants (50M USDC) contre 505 213 WAVAX sur TraderJoe, entraînant une augmentation momentanée du prix de l’AVAX à 98$ ; L’attaquant a emprunté 998 000 NXUSD en échange du jeton LP qui représente ses liquidités déposées sur TraderJoe. Pour son emprunt il a profité du fait que la valeur de l’AVAX ait été artificiellement gonflée pour emprunter plus qu’il n’aurait dû pouvoir ; Il a finalement échangé ses différents jetons et repayé son flash loan, engrangeant un profit de 371 406$.
Réactions de Nereus Finance
Comme nous avons pu le voir, l’attaquant a été en mesure de créer plus de NXUSD que la valeur déposée en collatéral. Par conséquent, son attaque a laissé le protocole avec plusieurs milliers de dollars de mauvaise dette. Pour rappel, une mauvaise dette est une dette non collatéralisée.
Par conséquent, les équipes de Nereus Finance se sont empressées de rembourser cette mauvaise dette en utilisant la trésorerie de l’équipe.
« L’équipe va modifier ses pratiques d’audit et de sécurité afin de s’assurer que ce type d’événement ne se reproduise pas à l’avenir.»
En parallèle, Nereus Finance a tenté de contacter le hacker. Nereus lui a proposé une récompense de 20% des fonds dérobés en échange de leur restitution. Cette proposition reste pour le moment sans réponse.
Face à l’augmentation des attaques relatives à la DeFi, les experts en sécurité sont sollicités de tous les côtés. Ainsi, les auditeurs en sécurité peuvent se targuer d’avoir dans les meilleurs salaires de l’industrie.
Restez loin des spammeurs et escrocs. Fuyez comme la peste les propositions trop belles pour être vraies et prenez l’habitude de faire preuve d’une saine méfiance. En revanche, apprenez également à accorder une confiance raisonnable aux acteurs respectables et reconnus de l’écosystème. La plateforme FTX rentre sans l’ombre d’un doute dans cette seconde catégorie. Venez acquérir et trader vos premiers bitcoins et autres cryptomonnaies. Inscrivez vous sur FTX. Vous y bénéficierez d’une réduction à vie sur vos frais de transaction (lien commercial).
L’article Avalanche : Nereus Finance victime d’une attaque à 370 000 $ est apparu en premier sur Journal du Coin.
