Une attaque récente dans le domaine de la DeFi a mis en évidence les faiblesses du système de stockage des cryptomonnaies, en particulier le coffre-fort ERC-4626. Les hackers ont profité d'un outil familier appelé flash loan (prêt éclair, emprunté et remboursé immédiatement) pour fausser le taux de change et tromper le système de tarification, également connu sous le nom de oracle.
Le 27 février, un hacker a réalisé ce qu'on appelle une "attaque de collecte de fonds" en empruntant environ 4 millions de dollars à Aave – une plateforme de prêt de crypto-monnaies. L'objectif était le token wUSDM, appartenant au système de vault ERC-4626 du Mountain Protocol. Il s'agit d'un type de crypto-monnaie rentable, lié à la stablecoin USDM – une crypto-monnaie ayant une valeur stable grâce à des obligations à court terme américaines. Le hacker a intentionnellement poussé le taux de change de wUSDM de 1,06 à 1,7, le faisant paraître plus précieux qu'il ne l'est réellement.
Ensuite, le hacker a utilisé deux comptes pour se "liquider" - c'est-à-dire prétendre vendre ses propres actifs - sur Venus Protocol, une autre plateforme de prêt. Bien que Venus ait rapidement bloqué les transactions pour empêcher cela, le hacker a tout de même empoché environ 200 000 USD de bénéfices. Pendant ce temps, Venus a subi des pertes de plus de 716 000 USD, selon un rapport d'analyse de Chaos Labs, une entreprise spécialisée dans la gestion des risques.
Yoni Keselbrener, responsable du département DeFi chez Lightblocks Labs, a déclaré au journal The Block : « Les deux équipes ont réagi en temps utile en verrouillant le marché, en ajustant les règles de risque et en ramenant le taux à un niveau normal. » Keselbrener est un contributeur à eOracle, un système qui fournit des données en temps réel pour des applications décentralisées sur Ethereum.
Le Vault ERC-4626, lancé en mai 2022, est une norme pour créer des coffres de cryptomonnaie. Cependant, le rapport de Chaos Labs indique que cette norme "n'a pas de mesures de protection lorsque le taux de change varie de manière anormale sur les plateformes de prêt."
En janvier 2024, Euler Finance a publié une étude avertissant que la plupart des coffres ERC-4626 n'ont pas de mécanisme de sécurité pour empêcher la manipulation des taux. Ils estiment qu'il est nécessaire de combiner plusieurs mesures de protection pour être plus efficace.
Chaos Labs a également déclaré que l'attaque aurait pu être évitée si des mesures telles que : "Le contrat wUSDM devrait utiliser un système de vérification des taux de change provenant de différentes sources. Ou si Venus avait été averti plus tôt, ils auraient pu limiter les augmentations anormales des taux de change." Pour éviter que cela ne se reproduise, Aave prévoit d'appliquer un mécanisme CAPO – un outil pour limiter les augmentations de prix artificielles – pour toutes les cryptomonnaies générant des profits, empêchant ainsi les hackers de créer des profits fictifs.
Le compte X de Curve Finance commente : "Cette vulnérabilité ne concerne pas seulement les vaults conformes, mais tous les types de vaults. C'est une erreur courante sur les plateformes de prêt."
Keselbrener a commenté : « Le mécanisme CAPO est très efficace, mais nécessite un code de programmation complexe et doit être surveillé en permanence. Nous devons nous assurer qu'il ne nuit pas aux profits légitimes tout en empêchant les hackers. » Il a ajouté : « À mesure que DeFi devient de plus en plus complexe, nous ne pouvons pas seulement nous fier à des données de prix simples. Il est nécessaire de bien comprendre les risques de chaque type de cryptomonnaie. Un système de vérification des prix provenant de plusieurs sources n'est pas un inconvénient, mais une couche de protection importante. Les fournisseurs d'oracles spécialisés peuvent concevoir des mesures pour détecter et prévenir de telles attaques. »
Avertissement :Cet article a uniquement un but informatif, il ne constitue pas un conseil en investissement. Les investisseurs doivent se renseigner soigneusement avant de prendre une décision. Nous ne sommes pas responsables des décisions d'investissement que vous prenez.
La Thaïlande accepte l'USDT et l'USDC, élargissant le commerce des cryptomonnaies
L'autorité de régulation financière de Californie met en garde contre 7 types d'escroqueries liées aux cryptomonnaies et à l'IA.
Microsoft a découvert le trojan StilachiRAT attaquant à distance les portefeuilles de cryptomonnaie sur Google Chrome.
Thạch Sanh
@media only screen and (min-width: 0px) and (min-height: 0px) {
div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] {
width:320px;
height: 100px;
}
}
@media uniquement écran et (min-width: 728px) et (min-height: 0px) {
div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] {
largeur: 728px;
height: 90px;
}
}
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Les récentes attaques DeFi ont révélé des vulnérabilités dans la norme de coffre ERC-4626.
Le 27 février, un hacker a réalisé ce qu'on appelle une "attaque de collecte de fonds" en empruntant environ 4 millions de dollars à Aave – une plateforme de prêt de crypto-monnaies. L'objectif était le token wUSDM, appartenant au système de vault ERC-4626 du Mountain Protocol. Il s'agit d'un type de crypto-monnaie rentable, lié à la stablecoin USDM – une crypto-monnaie ayant une valeur stable grâce à des obligations à court terme américaines. Le hacker a intentionnellement poussé le taux de change de wUSDM de 1,06 à 1,7, le faisant paraître plus précieux qu'il ne l'est réellement.
Ensuite, le hacker a utilisé deux comptes pour se "liquider" - c'est-à-dire prétendre vendre ses propres actifs - sur Venus Protocol, une autre plateforme de prêt. Bien que Venus ait rapidement bloqué les transactions pour empêcher cela, le hacker a tout de même empoché environ 200 000 USD de bénéfices. Pendant ce temps, Venus a subi des pertes de plus de 716 000 USD, selon un rapport d'analyse de Chaos Labs, une entreprise spécialisée dans la gestion des risques.
Yoni Keselbrener, responsable du département DeFi chez Lightblocks Labs, a déclaré au journal The Block : « Les deux équipes ont réagi en temps utile en verrouillant le marché, en ajustant les règles de risque et en ramenant le taux à un niveau normal. » Keselbrener est un contributeur à eOracle, un système qui fournit des données en temps réel pour des applications décentralisées sur Ethereum.
Le Vault ERC-4626, lancé en mai 2022, est une norme pour créer des coffres de cryptomonnaie. Cependant, le rapport de Chaos Labs indique que cette norme "n'a pas de mesures de protection lorsque le taux de change varie de manière anormale sur les plateformes de prêt."
En janvier 2024, Euler Finance a publié une étude avertissant que la plupart des coffres ERC-4626 n'ont pas de mécanisme de sécurité pour empêcher la manipulation des taux. Ils estiment qu'il est nécessaire de combiner plusieurs mesures de protection pour être plus efficace.
Chaos Labs a également déclaré que l'attaque aurait pu être évitée si des mesures telles que : "Le contrat wUSDM devrait utiliser un système de vérification des taux de change provenant de différentes sources. Ou si Venus avait été averti plus tôt, ils auraient pu limiter les augmentations anormales des taux de change." Pour éviter que cela ne se reproduise, Aave prévoit d'appliquer un mécanisme CAPO – un outil pour limiter les augmentations de prix artificielles – pour toutes les cryptomonnaies générant des profits, empêchant ainsi les hackers de créer des profits fictifs.
Le compte X de Curve Finance commente : "Cette vulnérabilité ne concerne pas seulement les vaults conformes, mais tous les types de vaults. C'est une erreur courante sur les plateformes de prêt."
Keselbrener a commenté : « Le mécanisme CAPO est très efficace, mais nécessite un code de programmation complexe et doit être surveillé en permanence. Nous devons nous assurer qu'il ne nuit pas aux profits légitimes tout en empêchant les hackers. » Il a ajouté : « À mesure que DeFi devient de plus en plus complexe, nous ne pouvons pas seulement nous fier à des données de prix simples. Il est nécessaire de bien comprendre les risques de chaque type de cryptomonnaie. Un système de vérification des prix provenant de plusieurs sources n'est pas un inconvénient, mais une couche de protection importante. Les fournisseurs d'oracles spécialisés peuvent concevoir des mesures pour détecter et prévenir de telles attaques. »
Avertissement : Cet article a uniquement un but informatif, il ne constitue pas un conseil en investissement. Les investisseurs doivent se renseigner soigneusement avant de prendre une décision. Nous ne sommes pas responsables des décisions d'investissement que vous prenez.
Thạch Sanh
@media only screen and (min-width: 0px) and (min-height: 0px) { div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] { width:320px; height: 100px; } } @media uniquement écran et (min-width: 728px) et (min-height: 0px) { div[id^="wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb"] { largeur: 728px; height: 90px; } }