L’équipe de Deus a déclaré que la dernière attaque n’a entraîné la perte d’aucun des fonds de ses utilisateurs.
Deus Finance DAO a été victime d’un nouvel exploit et a perdu 13,4 millions de dollars d’ETH au profit d’un pirate informatique, moins d’un mois après avoir été piraté lors d’une attaque similaire de prêt flash pour environ 3 millions de dollars.
Deus DAO a perdu plus de 16 millions de dollars dans ces deux attaques
La société de sécurité blockchain PeckShield a été la première à signaler l’exploit, affirmant que bien que le pirate ait gagné environ 13,4 millions de dollars, le protocole pourrait avoir perdu davantage.
Le @DeusDao a été exploité aujourd’hui dans https://t.co/USKNHhXeid avec un gain d’environ 13,4 millions de dollars pour le pirate (la perte de protocole peut être plus importante).
– PeckShield Inc. (@peckshield) April 28, 2022
Selon PeckShield, le pirate a utilisé un prêt flash pour manipuler l’oracle des prix et gonfler la valeur de DEI. Le pirate a ensuite utilisé le DEI gonflé comme garantie pour emprunter et drainer le protocole. L’exploit du mois de mars a été réalisé en utilisant la même méthode.
1/ @deusdao Deus Finance a été exploité dans https://t.co/bfYCQcz5rZ, ce qui a permis au pirate de gagner environ 3 millions de dollars (la perte du protocole peut être plus importante), dont 200 000 DAI et 1101,8 ETH
– PeckShield Inc. (@peckshield) 15 mars 2022
Le pirate a initialement retiré 800 ETH de Tornado Cash pour imiter l’exploit, en envoyant les fonds par Multichain dans Fantom. Après avoir volé les fonds, le pirate a payé le prêt flash et a envoyé le produit dans son portefeuille.
Il semble maintenant que le pirate ait déplacé la plupart des fonds du portefeuille, puisque seulement 0,85 ETH se trouvait dans le portefeuille au moment de la mise sous presse.
Réponse de l’équipe de Deus
Dans sa réponse initiale, Deus Finance DAO a appelé au calme après avoir révélé que son équipe y travaillait. Le protocole a affirmé que tous les fonds des utilisateurs étaient en sécurité et qu’aucun utilisateur n’avait été liquidé à cause de l’exploit.
La plateforme multichaîne de produits dérivés décentralisés a également déclaré que la parité $DEI est rétablie et qu’elle fournira bientôt d’autres mises à jour.
L’équipe de développement travaille sur la situation du DEI.
1. Les fonds des utilisateurs sont en sécurité. Aucun utilisateur n’a été liquidé.
2. Les prêts de DEI ont été temporairement arrêtés.
3. La parité $DEI a été restaurée.Plus de détails à suivre.
– DEUS Finance DAO (@DeusDao) April 28, 2022
Son fondateur, le pseudonyme lafachief, n’était pas d’accord avec la façon dont PeckShield a décrit l’exploit.
Ce n’est pas exactement ce qui s’est passé, je vais préparer quelque chose. https://t.co/7zwuPNdkly
– µ Lafa µ (@lafachief) April 28, 2022
Il a ajouté que le protocole utilise « des oracles de Muon non onchain » et que le pirate « a pu manipuler les prix VWAP de Muon ». Il poursuit en disant que le pirate « a essentiellement « simulé » un échange de ~2M USDC contre 100k DEI » et a « manipulé le prix VWAP de Muon avec cela «
Voilà ce que je sais pour l’instant :
L’attaquant a utilisé cette transmission pour manipuler le prix du muon :https://t.co/G4hFwIjkBy
Muon vérifie les SWAPS à l’intérieur du pool solidly, nous avons travaillé sur la modification de cela avec muon pour ajouter plus de sources et filtrer les transactions…
– µ Lafa µ (@lafachief) April 28, 2022
Lossless DeFi, un outil d’atténuation du piratage cryptographique, a également proposé d’aider Deus à attraper le pirate s’il était prêt à coopérer.
Hey @DeusDao Notre équipe a examiné la question et nous pensons pouvoir attraper le coupable avec vous. Je vous envoie un DMed si vous voulez travailler ensemble.
– Lossless (@losslessdefi) April 28, 2022
Cependant, certains utilisateurs s’inquiètent de la sécurité de la plateforme, considérant que le même exploit s’est produit deux fois en moins d’un mois.