Vestra DAO semble avoir été piratée. Des analystes de la blockchain ont constaté une activité suspecte : des jetons VSTR, le jeton ERC-20 natif du protocole, étaient déplacés destracintelligents disponibles vers le mélangeur Tornado.
Au moment des signalements, au moins 480 000 $ de jetons avaient été dérobés. Bien que l’attaque initiale ait été relativement mineure, le risque persistait pour les autres participants. Le chercheur Chaofan Shou, spécialiste de la blockchain, a été le premier à repérer la faille et a conseillé à tous les utilisateurs de retirer leurs autorisations.
Vestra DAO (@Vestra_DAO vient d'être piratée et l'attaque est toujours en cours. Déjà 480 000 $ de pertes et ce n'est pas fini. Retirez vos mises et votre liquidité immédiatement. pic.twitter.com/0b9i1lhrEw
– Chaofan Shou (@shoucccc) 4 décembre 2024
Cette faille a affecté letracde staking des tokens VSTR, entraînant la liquidation immédiate des fonds et leur transfert vers le service de mixage Tornado. Plus de 65 % des tokens VSTR, soit plus de 34 milliards, sont bloqués pour la gouvernance.
Le contrat intelligent concernétracles 755 millions de jetons VSTR restants, soit 1,51 % de l'offre totale. Malgré l'attaque visant un jeton relativement peu important, le krach boursier qui a suivi a encore davantage érodé la valeur du projet. Pour l'instant, Vestra DAO dispose probablement de suffisamment de VSTR en réserve pour indemniser les utilisateurs, tout en s'efforçant de redorer son image.
L'exploiteur a attendu un mois avant d'exploiter une faille de logiquetrac
L'attaquant a vendu précipitamment, payant 0,51 ETH à Beaverbuild pour une inclusion prioritaire dans un bloc. Le contrat de staking bloqué de Vestra DAO affectétraca , envoyant directement des jetons VSTR.
Pendant des heures, le pirate a envoyé des transactions frauduleuses de 520 000 ou 500 000 VSTR autrac, pour un montant total de 480 000 $. L’attaque a exploité une faille logique dans letrac, permettant au pirate de recevoir 20 000 VSTR après chaque transaction.
L'analyse on-chain a révélé que l'attaquant avait initialement déposé des VSTR sur le contrattractractractractractractractractrac. Ensuite, une série automatisée de transactions a permis destracVSTR à chaque itération de dépôt et de retrait.
Les contrôles de données effectués sur chaque dépôt et retrait n'ont déclenché aucune alerte, permettant ainsi à l'attaquant de vider letracau cours de plusieurs transactions. Letracne vérifiait l'échéance qu'une seule fois, mais le pirate avait rempli les conditions requises en effectuant un staking 30 jours auparavant.
L'exploitation de cette faille a permis de dérober 125 ETH, convertis via Tornado Cash. L'attaquant a dépensé 40 000 $ en frais de gaz Ethereum pour des échanges ultra-rapides, devenant brièvement le plus gros consommateur de gaz de la blockchain.
Vestra DAO n'a pas communiqué les détails de l'attaque et a affirmé que les fonds des utilisateurs n'avaient pas été affectés. Cependant, letraca été vidé de ses jetons VSTR, ce qui représente un manque à gagner évident pour le projet.
Les jetons VSTR ont été piratés un mois après leur lancement
Vestra DAO est un projet relativement récent, les jetons VSTR étant négociés depuis le 6 novembre. Le jeton est uniquement disponible sur la paire de trading Uniswap V3.
La DAO a lancé sa toute première proposition le 14 octobre, liée à la vente d'un milliard de jetons provenant de la trésorerie du projet. Le jeton VSTR ne compte toujours que 1 643 détenteurs, ce qui limite l'impact du piratage.
Le token s'est effondré après l'attaque, passant de 0,013 $ à 0,005 $. Par la suite, le VSTR a légèrement remonté jusqu'à 0,009 $, mais reste extrêmement illiquide et volatil. Outre la perte directe, le VSTR a également perdu la moitié de sa capitalisation boursière.
À ce stade, VSTR pourrait s'avérer encore plus risqué que les tokens à la mode en phase de lancement. Le principal risque réside dans la liquidité limitée à 1,9 million de dollars des tokens VSTR, qui n'est pas bloquée et peut donc être exploitée de manière frauduleuse.
L'autre risque pour ce projet réside dans le fait que ses contratstractractractractractractractractracce qui a entraîné un avertissement sur CoinGecko. Vestra DAO a affirmé avoir blacklisté son contrat de stakingtractractractractractractractractrac.
Même pour les projets audités, lestracintelligents ne sont pas toujours totalement sécurisés et peuvent présenter des failles de sécurité. Dans le cas de VestraDAO, ce projet en phase de démarrage pourrait se redresser et améliorer sa fiabilité.
Vestra DAO a séduit la communauté crypto turque, l'un des groupes les plus actifs parmi les premiers utilisateurs. Le token VSTR avait même un prix de conversion en lires turques.
