D’après une Tweet par la société d'analyse DeFi PeckShield, le protocole de dérivés décentralisés Deus Finance a subi un exploit le 28 avril 2022. Le fournisseur de sécurité de la blockchain a noté que l'attaquant avait réussi à manipuler un oracle de prix pour les prêts flash sur Deus DAO.
La montée et la montée des attaques de prêts flash
«Le piratage est rendu possible grâce à la manipulation assistée par flashloan de l'oracle des prix qui lit à partir de la paire StableV1 AMM - USDC / DEI. Le prix manipulé de la garantie DEI est ensuite utilisé pour emprunter et vider le pool », a expliqué PeckShield.
L'exploit a permis à l'acteur malveillant de siphonner plus de 13.4 millions de dollars du pool de liquidités du protocole de prêt sur Fantom Network. Cependant, la perte totale pour le protocole Deus pourrait être beaucoup plus élevée, selon la société CertiK axée sur la sécurité.
Dans un Tweet publié jeudi matin, CertiK a confirmé qu'un exploit de prêt flash s'était produit sur la plate-forme Deus, mais a estimé que l'attaquant avait réalisé environ 16.84 millions de dollars de bénéfices.
Un pirate transfère des fonds volés dans Crypto Mixer
L'attaquant inconnu a pu tromper la capacité des contrats intelligents Deus à interpréter les données oracle des prix, lui permettant de manipuler la valeur de la garantie DEI. DEI est le stablecoin de réserve fractionnaire du protocole DeFi indexé sur la valeur du dollar américain.
En utilisant le prix gonflé, le pirate a utilisé des garanties pour emprunter de grosses sommes de crypto sous forme de prêt flash et vider le pool. Peu de temps après avoir sécurisé son butin d'environ 5446 ETH, l'attaquant a transféré des fonds de son portefeuille vers Tornado Cash, un outil de mixage de pièces populaire.
Au moment de la rédaction de cet article, l'adresse de portefeuille associée à l'exploiteur Deus a un solde de seulement 132 $, car la plupart des fonds volés ont déjà été acheminés vers la solution de confidentialité Tornado Cash.
L'écosystème Deus est sous le choc de l'exploit dévastateur des premières heures asiatiques de jeudi. L'exploit a fait chuter le prix de DEI de 16.5 % au cours des dernières 24 heures, selon les données de CoinGecko. La majeure partie des pertes est survenue après que les sociétés de sécurité blockchain ont rendu publics les détails de l'attaque de prêt flash.
Les développeurs de Deus Finance suspendent les prêts DEI
L'équipe de développement de Deus a agi rapidement pour apaiser la panique parmi les utilisateurs après le piratage dévastateur de jeudi sur le réseau. Dans un Tweet publié jeudi matin, les porteurs du projet ont assuré aux investisseurs que la plateforme bilatérale de dérivés OTC est désormais sécurisée.
L'équipe a confirmé que les fonds des utilisateurs étaient en sécurité et a répété qu'aucun investisseur n'avait été liquidé. Ils ont en outre expliqué que l'arrimage 1: 1 de DEI au dollar américain avait été rétabli, mais ont informé les acteurs du marché que le prêt du stablecoin avait été temporairement interrompu.
Malheureusement, le dernier hack sur Deus Finance n'est pas le premier. Le mois dernier encore, le marché DeFi a été infiltré par des attaquants utilisant le même vecteur d'attaque de prêt flash. Comme indiqué par crypto.news, l'exploit de malware a vu les cybercriminels repartir avec environ 3 millions de dollars en pièces ETH et DAI.
Suite à la violation du 15 mars, Deus Finance DAO a annoncé la fermeture du contrat de prêt DEI. Le PDG du protocole Deus, Lafayette Tabor, a ensuite présenté un plan de remboursement qui a permis aux utilisateurs concernés de rembourser leurs prêts et de récupérer les fonds liquidés.
Source : https://crypto.news/deus-finance-new-flashloan-attack-13m/