0VIX, un protocole de prêt sur Polygon et Polygon zkEVM, aurait été exploité pour au moins 2 millions de dollars.
Le protocole permet d’emprunter contre de multiples stablecoins, des dérivés d’Ethereum et le jeton MATIC natif de Polygon, ainsi que le jeton d’Aavegotchi, vGHST. Aavegotchi est un projet de jeu sur blockchain inspiré du populaire jeu Tamagotchi.
L’exploit a été réalisé sur le jeton vGHST.
Officer’s Notes, un chercheur en sécurité indépendant, a déclaré à Decypt que les attaquants ont déjà transféré 1,4 million de dollars en USDC et 600 000 dollars en USDT via le protocole de bridageStargate Finance alors qu’ils tentent de transférer des fonds vers Ethereum et de convertir les stablecoins en ETH.
L’équipe 0VIX a réagi en interrompant temporairement les marchés de prêt pendant qu’elle enquêtait sur la question.
0VIX travaille avec ses partenaires de sécurité pour examiner la situation actuelle qui semble être liée à vGHST.
En conséquence, les marchés POS et zkEVM ont été mis en pause, ce qui inclut la mise en pause des transferts d’oToken, du minting et des liquidations.
Seuls les POS sont actuellement affectés, mais les zkEVM…
– 0VIX | live on zkEVM (@0vixProtocol) April 28, 2023
La société de sécurité de la blockchain et d’analyse de données, PeckShield, a signalé que les attaquants ont contracté un prêt éclair de 6,12 millions de dollars en stablecoins pour manipuler le pool de prêt vGSHT sur 0VIX.
Blocksec, une société de sécurité blockchain, a confirmé que les pirates ont utilisé les stablecoins empruntés pour ouvrir des positions de prêt vGSHT et ont ensuite manipulé l’oracle de prix du protocole.
Le jeton natif d’Aavegotchi, GHST, a bondi de 24,7 %, passant de 1,13 $ à 1,41 $ en moins de 30 minutes, selon CoinGecko.
Graphique du prix du GHST. Source : CoinGecko
La flambée instantanée du prix de la GHST a rendu le pool de prêt vGHST insolvable, et l’attaquant a liquidé les pools, s’emparant des garanties qu’ils contenaient.
Ces types d’attaques sont appelés hacks de manipulation de l’oracle des prix, qui sont courants dans les cercles DeFi.
Les attaquants manipulent l’oracle des prix d’un jeton peu liquide, comme le GHST, en gonflant son prix. Ensuite, l’attaquant échange ses avoirs artificiellement gonflés contre d’autres jetons dont la liquidité est abondante et le prix stable.
Mango Markets sur Solana et bZx exchange sur Ethereum et BNB Chain ont été piratés en utilisant la même technique pour 100 millions de dollars et 55 millions de dollars, respectivement.
