Value DeFi - REKT
S’y connaissaient-ils réellement en flash loans ?
La valeur d'une réputation est volatile. L'humilité confère de la stabilité : si vous vous mettez trop en avant, vous êtes sur de vous faire rekt à un moment ou à un autre.
Value DeFi a été exploité hier pour un montant avoisinant les 7,000,000 de dollars. Une nouvelle rude leçon de la famille des flash loans.
Prix avant le hack - 2.73 $
Prix après le hack - 1.87 $
Publier ce tweet un jour avant le hack ?
Ça n'a pas de prix.
(Ce tweet a été depuis supprimé, mais notre screenshot est toujours là.)
Malgré leurs affirmations audacieuses en matière de sécurité, il semble que l'équipe de Value DeFi ne savait pas que les retraits pouvaient être effectués non seulement via le bank contract, mais également à partir du Vault contract via Proxy.
Value DeFi a utilisé le prix spot de Curve comme oracle.
La manipulation a eu lieu aux étapes 5 et 6.
Le retrait à l'étape 7 utilise la mauvaise fonction de Curve pour faire le calcul.
Source : @emilianobonassi
Source : @FrankResearcher
15h24 : L'exploit est arrivé à un moment particulièrement peu propice pour Value DeFi, à peine 20 minutes avant le lancement d'une AMA.
A 15h41, un utilisateur a posé une question sur la chute de la TVL, qui avait dépassé les 11 millions de dollars plus tôt dans la journée.
À 15h42, l'inquiétude grandissait et les membres du groupe espéraient un bug de l’UI.
Puis, à 15h49, le etherscan link fut lâché comme une bombe dans le chat.
7,000,000,000 de dollars avaient été retirés du vault de Value DeFi, puis 2,000,000 de dollars, accompagnés de la note suivante, furent retournés :
À 16h00, juste au moment où l'AMA devait commencer, Stani Kulechov publia le tweet suivant :
Pendant ce temps, dans l'AMA :
L'équipe Value a reconnu le hack sur leur Discord à 16h05, mais les questions de l’AMA se sont poursuivies pendant 40 minutes sur des sujets sans rapport, jusqu'à ce que…
$FARM, $AKRO et maintenant $VALUE ont été victimes de flash loans. De bien rudes leçons pour des protocoles fragiles, des leçons qui exposent la faiblesse de leur plateforme avant qu’une partie de la somme ne leur soit restituée en signe de “bonne foi”.
Il n’y a que des projets à moitié sérieux qui ont été ciblés, ceux qui possèdent une activité soutenue et une TVL honorable.
Tente-t-on de nous apprendre quelque chose avec ces attaques ?
Les flash loans sont un sujet controversé dans l’univers de la DeFi, et s'ils ont été la cause de bien des attaques et des exploits ces derniers mois, on pourrait affirmer que cela accélère simplement notre processus d'apprentissage et nous aide à éliminer les protocoles les plus faibles.
Sans les flash loan, nous attendrions que ça soit une baleine qui le fasse. Il est préférable que nous traversions cette épreuve maintenant, durant la genèse de la finance décentralisée, alors que les personnes qui sont prêtes à prendre des risques expérimentent, tentent des choses et lancent quotidiennement de nouveaux produits.
Les flash loan sont là pour enseigner et donner une leçon d'humilité à ceux qui brûlent les étapes. Ils sont le summum de la DeFi - irréalisables ailleurs, les flash loans sont le parfait exemple des nouvelles possibilités offertes par la technologie.
Une fonctionnalité de la DeFi, pas un exploit de code.
Les protocoles les plus solides ne sont pas affectés par ces attaques. Certains en bénéficient même.
Les flash loans relèvent la barre bien plus haut pour les développeurs de la DeFi.
Tant que les nouvelles normes ne seront pas respectées, les individus comme les protocoles continueront de se faire rekt. Ce sera douloureux, et ce sera fait en public, mais grâce à cela nous serons en mesure d’en tirer des leçons. La DeFi en sortira plus forte, et nous développerons alors de meilleures habitudes, des codes plus solides, et un environnement plus sûr pour les futurs utilisateurs.
REKT sert de plateforme publique pour des auteurs anonymes, nous déclinons toute responsabilité quant aux opinions ou contenus hébergés sur REKT.
faites un don (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
avertissement:
REKT n'est responsable en aucune manière du contenu publié sur notre site Web ou en lien avec nos Services, qu'il soit publié ou occasionné par l'Auteur Anon de notre site Web, ou par REKT. Bien que nous fournissions des règles pour la conduite et les publications de l'Auteur Anon, nous ne contrôlons pas et ne sommes pas responsables de ce que l'Auteur Anon publie, transmet ou partage sur notre site Web ou nos Services, et ne sommes pas responsables de tout contenu offensant, inapproprié, obscène, illégal ou autrement répréhensible que vous pourriez rencontrer sur notre site Web ou nos Services. REKT ne saurait être tenu responsable de la conduite, en ligne ou hors ligne, de tout utilisateur de notre site Web ou de nos services.
vous pourriez aussi aimer...
Fortress Protocol - REKT
La forteresse est un champ de ruines après que 3M$ aient été volés suite à une manipulation d'oracle et un acte de gouvernance malveillant. L'interface utilisateur est mise en pause, mais les contrats restent actifs. L'écosystème de Fortress renflouera-t-il les utilisateurs pour les fonds perdus ?
MM Finance - REKT
Mad Meerkat Finance (à ne pas confondre avec Meerkat Finance normal) a perdu 2 million de dollars à cause d'un exploit de DNS. Attaques front-end, attaques back-end, quand cela cessera-t-il donc ?
Fei Rari - REKT
Fei Rari - rekt. Sept des pools Fuse de Rari ont été drainés pour un total d'environ 80 millions de dollars. Ce n'est pas la première fois que Rari se fait rekt - espérons que les hackers ne réaliseront pas le coup du chapeau.