Le protocole de prêt multichaîne Hundred Finance a connu une faille de sécurité importante sur la blockchain Ethereum layer-2 Optimism. Selon le protocole sur Twitter, les pertes s’élèvent à 7,4 millions de dollars.
Cent Finances annoncé l’exploit le 15 avril, affirmant qu’il avait contacté le pirate informatique et travaillait avec diverses équipes de sécurité sur l’incident. Bien que le protocole n’ait pas révélé comment l’attaque a été exécutée, la société de sécurité blockchain Certik a noté qu’il s’agissait d’une attaque de prêt flash :
#CertiKSkynetAlert @HundredFinanceL’attaquant de a manipulé le taux de change entre les jetons ERC-20 et les htokens, ce qui leur a permis de retirer plus de jetons qu’ils n’en avaient initialement déposés. Les pertes estimées de cette attaque sont d’environ 7,4 millions de dollars.
Restez vigilant ! https://t.co/1hxAnFoNjj
— Alerte CertiK (@CertiKAlert) 15 avril 2023
Les attaques de prêt flash ont lieu lorsqu’un pirate emprunte une grande quantité de fonds via un prêt flash (un type de prêt non garanti) à partir d’un protocole de prêt. Le pirate la combine ensuite avec d’autres techniques pour manipuler le prix d’un actif sur un finance décentralisée (DeFi) plateforme.
Dans le cas de Hundred, l’attaquant a manipulé le taux de change entre les jetons ERC-20 et les hTOKENS, leur permettant de retirer plus de jetons que ceux initialement déposés, selon Certik. La société de sécurité blockchain a poursuivi:
“La formule du taux de change a été manipulée via la valeur de trésorerie. La trésorerie est le montant de WBTC dont dispose le contrat hBTC. L’attaquant l’a manipulé en faisant don de grandes quantités de WBTC au contrat hToken afin que le taux de change augmente.”
Certik dit que des emprunts importants ont été contractés sous le taux de change manipulé. Hundred Finance prépare un rapport post-mortem sur l’incident.
Cette attaque survient près de 12 mois après la mort de Hundred exposé à un autre exploit sur la chaîne Gnosis. À ce moment-là, le pirate a vidé toute la liquidité du protocole par une attaque de réentrée. Plus de 6 millions de dollars ont été perdus. Dans le même exploit, le pirate a également volé des fonds du protocole Agave.
Depuis l’année dernière, un certain nombre d’auteurs ont utilisé des attaques de prêt flash pour cibler les protocoles DeFi. Parmi les cas récents figurent des attaques contre Euler Finance (196 millions de dollars) et Mango Markets (46 millions de dollars). Alors que le hack d’Euler retourné la plupart des fondsle voleur de Mango a été arrêté par les autorités américaines.