Accueil Cryptomonnaies DeFi : Les 10 plus grands vols de l’histoire

DeFi : Les 10 plus grands vols de l’histoire

105
0

La finance décentralisée (DeFi) désigne les applications blockchain qui suppriment les intermédiaires des produits et services financiers tels que : les prêts, l’épargne et les échanges. Si le DeFi apporte des récompenses élevées, il s’accompagne également de nombreux risques.

Comme presque tout le monde peut créer un protocole DeFi et écrire quelques contrats intelligents, les failles de code sont courantes. Dans DeFi, il existe de nombreux méchants capables d’exploiter n’importe quelle faille. Lorsque cela se produit, des millions de dollars sont en jeu, souvent sans aucun recours pour les utilisateurs.

Les utilisateurs de DeFi ont perdu 10,5 milliards de dollars à cause du vol en 2021, selon un rapport publié en novembre par la société Elliptique. Depuis lors, ce chiffre a fortement augmenté.

10. Vee Finance – 35 millions de dollars

Avalanche a connu une augmentation de son activité en 2021. Par conséquent, la blockchain a également attiré les personnes désireuses d’exploiter l’écosystème en plein essor.

En septembre 2021, une semaine seulement après que la plateforme de prêt Vee Finance ait célébré 300 millions de dollars d’actifs bloqués, elle a subi sa plus grande attaque sur le réseau Avalanche.

L’attaque a été rendue possible en grande partie parce que la fonction de négociation à effet de levier de Vee Finance reposait sur les prix des jetons fournis par le principal protocole de liquidité DeFi d’Avalanche, Pangolin.

Pour abuser de cette situation, l’attaquant a créé sept paires de transactions sur Pangolin, a fourni des liquidités et a finalement placé des transactions à effet de levier sur Vee. Cela lui a permis de faire fuir 35 millions de dollars en crypto-monnaies du protocole.

Dans un tweet adressé à “0x**95BA”, le protocole exigeait que l’attaquant restitue les fonds dans le cadre d’un programme de récompense, ce qui lui permettrait d’en conserver une partie. Mais le pirate de Vee n’a montré aucun désir de rendre les fonds.

9. PancakeBunny – 45 millions de dollars

La Smart Chain de Binance (désormais appelée BNB Chain) a été la plus grande tendance du DeFi au printemps 2021. En particulier pour les utilisateurs de détail, grâce à ses faibles frais de réseau.

Mais BSC a également été le théâtre de nombreuses escroqueries et piratages, dont le plus important est un exploit datant de mai 2021 qui visait le protocole d’augmentation du rendement PancakeBunny.

Un pirate a manipulé l’algorithme de tarification de PancakeBunny par le biais d’une série de huit attaques de prêt flash, gonflant le prix du jeton $Bunny natif du protocole. Les pirates ont gagné 45 millions de dollars en achetant BUNNY à un faible prix de marché et en le revendant à un prix artificiellement gonflé.

8. bZx – 55 millions de dollars

Le protocole de prêt multi-chaînes bZx de DeFi a été attaqué par des pirates en novembre 2021 après qu’une “clé privée” ait été compromise. Le protocole, mis en œuvre sur Binance Smart Chain et Polygon, a perdu 55 millions de dollars.

Mais bZx a déjà subi deux fois des attaques similaires.

Si les attaques de DeFi par prêt de flash sont une tactique d’attaque de DeFi courante aujourd’hui, bZx est un “OG” à cet égard. Protocol a subi une attaque de type “flash loan” sur sa plateforme de trading sur marge Fulcrum en février 2020. Le hacker s’est enfui avec 1 300 ETH, soit une valeur de 366 000 dollars à l’époque.

Lors d’une autre attaque de DeFi en septembre 2020, bZx a perdu 30 % des fonds bloqués dans ses coffres, d’une valeur de 8 millions de dollars à l’époque. Cependant, les utilisateurs détenant des positions ouvertes dans la marge n’ont pas subi de pertes car les fonds ont été déduits du fonds d’assurance de bZx, comme le protocole l’a indiqué plus tard dans le rapport.

Lire aussi :  Le Salvador achète 21 bitcoins, célébrant le 21 décembre 2021 (21.12.21)

7. Badger DAO – 120 millions de dollars

Ce n’est pas toujours une vulnérabilité de contrat intelligent qui fait s’évaporer des millions d’un projet DeFi.

Badger DAO a subi une perte de 120 millions de dollars en décembre 2021 après que des escrocs ont convaincu les membres de Badger DAO d’approuver des transactions malveillantes, ce qui leur a permis de contrôler les fonds sécurisés des utilisateurs et de les déplacer.

6.Cream Finance – 130 millions de dollars

Le protocole de prêt DeFi Cream Finance a perdu 130 millions de dollars lors d’une attaque de prêt flash en octobre 2021, marquant la troisième attaque subie par le protocole.

Les prêts flash vous permettent de contracter un prêt instantané, à condition de le rembourser dans la même opération. Bien qu’utiles pour les opérations d’arbitrage, ils sont largement mis en œuvre par des acteurs malveillants pour exploiter les vulnérabilités des protocoles DeFi.

Dans l’affaire Cream Finance, un pirate de prêts flash a réussi à exploiter l’écart de prix en effectuant à plusieurs reprises des prêts flash sur différentes adresses Ethereum.

Cream a déjà été attaqué par des pirates informatiques. En août 2021, un pirate a volé environ 25 millions de dollars lors d’une autre attaque de prêt flash DeFi visant principalement le jeton natif de Flexa Network, AMP. Lors d’une autre attaque de prêt flash en février 2021, les pirates ont extrait 37,5 millions de dollars du pool de protocoles.

5. Vulcan Forged – 140 millions de dollars

Le “play-to-earn” est l’une des dernières tendances du secteur des crypto-monnaies, mais il n’est pas exempt de ses vieux trucs et pièges, notamment ceux qui exploitent le pouvoir centralisé. Vulcan Forged, une plateforme play-to-earn sur Polygon, a appris cette leçon à ses dépens lorsque ses utilisateurs ont perdu 140 millions de dollars.

Des pirates informatiques ont obtenu Les identifiants de portefeuilles centralisés des utilisateurs de la plateforme Venly permettent d’obtenir les clés privées de 96 portefeuilles de crypto-monnaies. Plus tard, les pirates les ont utilisés pour obtenir les clés privées de la fonction de portefeuille d’actifs de la plateforme MyForge et ont finalement réussi à obtenir 4,5 millions de jetons PYR.

4. Composé – 150 millions de dollars

Comme la plupart des protocoles DeFi, le protocole Compound lending dispose d’un jeton de gouvernance, appelé COMP. Le protocole distribue des jetons aux utilisateurs sous certaines conditions.

En octobre 2021, une erreur de protocole a permis aux débiteurs de réclamer plus que leur part du COMP. Le bug concernait deux de ses chambres fortes.

Après que 80 millions de dollars de COMP aient été envoyés aux mauvaises personnes, l’équipe s’est empressée de réparer l’erreur. Mais avant qu’un correctif puisse être mis en œuvre, le protocole devait être approuvé par le gouvernement. La proposition a été créée le 2 octobre et finalement acceptée le 9 octobre. Pendant que la communauté débattait de la proposition, les coffres ont perdu 68,8 millions de dollars supplémentaires.

Lire aussi :  Un outil qui "supprime" les restrictions sur le minage de crypto-monnaies avec les GPU Nvidia est en fait un logiciel malveillant.

Comment le fondateur de Compound, Robert Leshner, a-t-il essayé de récupérer l’argent ? Via Twitter, en déclarant :

“Quiconque rend le COMP à la communauté est un extraterrestre giga-chad et si jamais une équipe d’extraterrestres giga-chad m’appelle, je me présenterai.”

Près de la moitié des fonds ont été retournés.

Vortex – 326 millions de dollars

Comme il y a de plus en plus de blockchains de niveau 1 avec DeFi intégré, les utilisateurs ont de plus en plus besoin de transférer des fonds entre les chaînes.

Les ponts inter-chaînes répondent à ces besoins, mais apportent également de nouvelles vulnérabilités. L’incident le plus dommageable s’est produit en janvier 2022, lorsque Wormhole, un pont populaire, a perdu 320 millions de dollars en Ethereum enveloppé (wETH.) Le WETH est une cryptocurrency liée au prix de l’Ethereum.

2. ronin – 552 millions de dollars

Axie Infinity, le jeu “play to earn” propulsé par NFT, est l’une des histoires les plus réussies du secteur des crypto-monnaies. Le 23 mars 2022, le jeu a été victime de l’un des plus grands piratages de l’espace cryptographique, avec des “clés privées” d’une valeur estimée à 552 millions de dollars volées.

Une semaine plus tard, lorsque Sky Mavis, développeur d’Axie Infinity, a révélé l’exploit, la valeur des fonds volés est passée à 622 millions de dollars.

Les attaquants ont utilisé “une porte dérobée à travers notre nœud RPC, dont ils ont abusé pour obtenir la signature du validateur Axie DAO, selon un rapport de Sky Mavis.

Grâce à cette vulnérabilité, l’attaquant a pu signer les transactions de cinq des neuf nœuds de validation du réseau Ronin, dont le nœud AxieDAO et quatre des nœuds de Sky Mavis. Les attaquants ont ainsi pu effectuer des transactions et réclamer 173 600 WETH (Wrapped Ethereum) et 25,5 millions d’USDC, soit un total d’environ 622 millions USD.

Qualifiant le piratage “d’un des plus grands piratages de l’histoire”, Jeff Zirlin, cofondateur d’Axie Infinity, a noté qu'”il y a une chance que le pirate soit identifié et traduit en justice.”

1. Réseau Poly – 611 millions de dollars

Le piratage de Poly Network reste le plus important de la cryptographie – et pas seulement de DeFi. Mais heureusement, la saga qui a commencé le 10 août 2021 s’est terminée heureusement trois jours plus tard, après une série de rebondissements étranges.

Le vol a commencé lorsqu’un pirate a exploité une vulnérabilité dans les “appels de contrat” du réseau Poly, des morceaux de code qui alimentent le protocole. Le pirate a rapidement gagné 611 millions de dollars en diverses crypto-monnaies, ce qui a incité Poly à publier une lettre de désespoir avec la salutation “Cher Hacker”.

Cet effort de sensibilisation et les suivants ont fini par porter leurs fruits. Le protocole a offert une récompense de 500 000 dollars et la possibilité pour le pirate de devenir son principal conseiller en sécurité.

Lors d’une séance de questions-réponses, le pirate a expliqué que la vulnérabilité n’avait été utilisée que pour donner une leçon à Poly Network. Le remboursement des fonds volés a “toujours été le plan”, a-t-il déclaré.

Article précédentLe Japon fait face à une nouvelle variante du Covid-19. Voici ce que vous devez savoir sur cette nouvelle souche.
Article suivantUn point de repère unique à Venise ouvre pour la première fois aux touristes