- Le protocole de financement participatif Harvest Finance a été piraté.
- L'agresseur a emporté 24 millions de dollars, mais en a restitué 2,5 millions.
L'exploitation des failles des protocoles de finance décentralisée (DeFi) est un problème de plus en plus préoccupant et représente une menace importante pour la croissance rapide du secteur. Il y a quelques heures, un pirate informatique a réussi à exploiter des failles de sécurité dans le protocole de yield farming Harvest Finance, et à vider la quasi-totalité des fonds bloqués dans le projet, d'après de nombreuses informations partagées sur Twitter.
Harvest Finance a perdu environ 24 millions de dollars suite à une attaque d'un auteur inconnu
D'après les informations disponibles , le protocole Harvest Finance a été piraté avec succès tôt ce matin, et la quasi-totalité de ses actifs a été dérobée. Au total, ce protocole de yield farming a perdu environ 24 millions de dollars au profit du ou des attaquants. Ces derniers ont ensuite restitué environ 2,5 millions de dollars au responsable du protocole. Les raisons de cette restitution restent inconnues. Toutefois, ce n'est pas la première fois qu'un attaquant de protocole DeFi restitue une petite partie des fonds volés .
Parallèlement, l'attaquant pouvait cash les actifs volés de Harvest Finance en les convertissant en renBTC, une version tokenisée du Bitcoin (BTC), et en Tornado. L'équipe de Harvest Finance a donné un indice sur la manière dont le protocole a été piraté, précisant que l'attaque avait été lancée via le pool Y de Curve Finance. Voici le communiqué exact :
L'attaque économique a été menée via le pool Curve, en faisant grimper le prix des stablecoins sur Curve de manière disproportionnée et en déposant et retirant une grande quantité d'actifs par le biais de la récolte.
Un protocole Buggy
Dans un autre tweet , un utilisateur a révélé avoir découvert deux erreurs dans le protocole Harvest Finance après avoir analysé le code. Selon ce tweet, le protocole présentait un bug d'implémentation ainsi qu'une erreur de conception.
2. Conception laxiste – La stratégie comporte une fonction de vérification d'arbitrage, mais la tolérance était insuffisante. Je n'ai pas pu vérifier sa valeur au moment de l'exploitation, mais la valeur par défaut de 3 % était excessive. pic.twitter.com/p6vxhpHaRl
— Pancake $Bunny sur #BSC (@PancakeBunnyFin) 26 octobre 2020
Cette évolution a également entraîné aujourd'hui une chute de 60 % du prix du jeton de gouvernance du protocole (FARM) sur CoinGecko.
