Environ 295 000 $ ont été drainés des coffres de la plateforme de financement décentralisé (DeFi) Flurry Finance suite à un piratage de ses contrats intelligents.

L’attaque a eu lieu mardi 22 février lorsqu’un pirate informatique malveillant a déployé un exploit qui a permis d’augmenter un multiplicateur influençant le solde de rhoToken, un jeton de dépôt utilisé par Flurry Finance pour l’agrégation des rendements.

Le résultat a été une augmentation du solde symbolique des attaquants et le retrait illicite de fonds supplémentaires, selon la société de sécurité blockchain CertiK.

L’attaquant a réussi à répéter le processus plusieurs fois avant que Flurry Finance ne bloque d’autres retraits en mettant en pause les contrats intelligents exécutés sur Polygon et la Binance Smart Chain (BSC).

CertiK a dit La gorgée quotidienne qu’il a détecté une activité suspecte dans les 15 minutes suivant l’attaque et a informé Flurry Finance dès qu’il a vérifié qu’une attaque était en cours.

Prêt éclair

CertiK a déclaré que l’attaquant avait déclenché un contrat de jeton malveillant, créé une paire PancakeSwap pour le jeton et Binance USD (BUSD), puis avait contracté un prêt flash sur le contrat bancaire de Rabbit Finance.

Le déclenchement de la fonction StrategyLiquidate, qui « a décodé les données d’entrée en tant qu’adresse de jeton LP créée à l’étape précédente », a permis l’exécution de code malveillant qui a rebasé tous les coffres et mis à jour les multiplicateurs pour les rhoTokens.

VOUS POURRIEZ AUSSI AIMER La société de cryptographie MakerDAO offre un record de 10 millions de dollars dans le programme de primes de bugs nouvellement lancé

« Étant donné que le changement de base a été déclenché dans le cadre d’un prêt éclair et que les jetons empruntés au contrat bancaire n’ont pas encore été restitués, le faible solde du contrat bancaire a entraîné un faible multiplicateur », a expliqué CertiK.

Après avoir rendu le prêt flash et conclu la transaction de préparation, l’attaquant a procédé au dépôt de jetons avec le multiplicateur bas, a mis à jour le multiplicateur à une valeur plus élevée, puis a retiré les jetons avec le multiplicateur élevé.

CertiK, qui audite les contrats intelligents pour Flurry Finance, a souligné que « l’exploit a été causé par des dépendances externes ».

Rebasage en attente

Dans un alerte communautaire posté sur Twitter hier (25 février), Flurry Finance a déclaré :

« Notre équipe est allée au fond du problème, et [is] met actuellement à jour tous les contrats intelligents sur rhoTokens afin d’éviter que l’exploitation ne se reproduise.

« Cependant, pendant la mise à niveau, la fonction de rebasage et tous les services rhoToken resteront suspendus jusqu’à nouvel ordre. Nous nous excusons pour la gêne occasionnée.

Flurry Finance a dit La gorgée quotidienne le 1er mars : « Notre équipe bat son plein pour redéployer tous les contrats intelligents sur le protocole FLURRY après un nouveau balayage complet des contrôles de sécurité. Nous publierons le rapport de piratage/plan de compensation plus tard cette semaine. [We] J’espère que cela vous donnera plus d’idée sur le hack, et [the] autre mesure de précaution [measures taken].”

Les gains mal acquis de l’attaquant sont relativement mineurs dans le contexte des piratages de crypto-monnaie qui entraînent régulièrement des pertes époustouflantes à sept, voire huit chiffres.

Par exemple, des accusations de blanchiment d’argent récemment portées contre le piratage de Bitfinex ont révélé que les bénéfices de 70 millions de dollars des attaquants s’étaient depuis appréciés à 4,5 milliards de dollars, tandis qu’en décembre, la plateforme de crypto-trading BitMart a signalé un vol de 150 millions de dollars.