Inverse Finance a été vidée aujourd’hui lorsqu’un attaquant s’est enfui avec 15 millions de dollars en crypto avant de les laver par Tornado Cash.
Inverse Finance est la dernière victime d’un exploit de DeFi qui a entraîné la perte de plus de 15 millions de dollars, a révélé Peckshield ce week-end. La société de sécurité blockchain a publié un tweet indiquant simplement « Hi, @InverseFinance, you may want to take a look », lié à une transaction sur Etherscan.
Washing crypto through Tornado Cash
Au cours des dernières heures, l’exploiteur a envoyé des centaines de transactions Ethereum vers Tornado Cash. Tornado Cash est un outil standard parmi les pirates et les exploiteurs pour tenter d’obscurcir l’historique de leurs transactions. L’entreprise décrit son service comme un outil qui « améliore la confidentialité des transactions en rompant le lien sur la chaîne entre les adresses de source et de destination ». Il utilise un contrat intelligent qui accepte les dépôts d’ETH qu’une adresse différente peut retirer. »
Les utilisateurs génèrent une clé aléatoire et déposent de l’ETH avec la note. L’utilisateur fournit ensuite la preuve de la clé de la note à partir d’un autre portefeuille pour retirer l’ETH, brisant ainsi la chaîne de transaction selon laquelle « seul l’utilisateur possédant la note peut lier le dépôt et le retrait. »
L’exploit impliquait un oracle TWAP qui nécessite de manipuler le prix d’un jeton de gouvernance d’un projet DeFi à faible liquidité. TWAP signifie Time Weighted Average Price (prix moyen pondéré dans le temps) et « est construit en lisant le prix cumulé d’une paire de jetons ERC20 au début et à la fin de l’intervalle souhaité. La différence de ce prix cumulé peut ensuite être divisée par la longueur de l’intervalle pour créer un TWAP pour cette période. » Une explication détaillée de l’exploit est disponible via un fil de discussion créé par l’ambassadeur de la communauté Chainlink, ChainLinkGod.
Un autre jour, une autre manipulation de l’oracle TWAP
Notes :
1. L’échantillon de temps TWAP était trop court
2. La liquidité du DEX est nettement plus faible que celle du CEX.
3. Opportunités d’arbitrage sur la chaîne supprimées par l’attaquant
4. L’arb CEX-DEX n’a pas eu lieu
5. Le prix du marché n’a pas été affecté par le prix du DEX https://t.co/qSgpzAKGxS– ChainLinkGod.eth ⬡ (@ChainLinkGod) April 2, 2022
La réponse de Inverse Finance
Inverse Finance s’est rendu sur les espaces Twitter ce soir pour parler des événements de l’exploit. Ils y expliquent comment toutes les décisions passent par la gouvernance on-chain de la DAO. La question se pose donc de savoir si cela permet une prise de décision rapide lors de crises comme celle-ci. L’équipe est apparue extrêmement calme et posée pendant l’espace Twitter, décrivant la manipulation de l’oracle de manière très concrète. Ils accusent une « inefficacité de l’arbitrage », l’exploiteur ayant utilisé 500 000 dollars de garantie pour voler 15 millions de dollars en quelques minutes.
La DAO a maintenant activé la règle Guardian sur Anchor pour empêcher de futurs emprunts par le biais du protocole utilisé pendant l’exploit. Cette mesure est destinée à « atténuer toute attaque future du même type ». La DAO explique ensuite comment sa « protection de l’ancrage » lui permet de rétablir rapidement les ancrages et les incitations du marché, qu’elle a utilisés à la suite de l’exploit. L’espace Twitter se poursuit pendant 30 minutes, expliquant d’autres caractéristiques d’Inverse Finance dans le but de restaurer la confiance dans le projet.
Les exploits ne sont pas des hacks.
Ce qu’il est important de noter ici, c’est que la personne responsable de cette action n’est pas un hacker, comme certains peuvent le rapporter. De nombreux articles posent actuellement la question suivante : « Si DeFi est si génial, pourquoi est-il sans cesse piraté ? » La réponse est que la plupart des exploits ne sont pas des piratages. Aucun code ou autorisation de sécurité n’a été craqué lors de ce dernier incident. Au lieu de cela, un individu a profité d’un oubli de la part des développeurs.
DeFi implique de nombreuses pièces mobiles, qui ont moins de cinq ans. L’engouement pour ce type de projets est tel que les investisseurs sont prêts à déposer des fonds dans des projets non éprouvés dans l’espoir de bénéficier de gains hors normes.
Le jeton de gouvernance d’Inverse Finance, INV, a généralement un volume moyen quotidien d’environ 900 000 dollars pour une capitalisation boursière de 31 millions de dollars. Le volume a augmenté de 5000 % aujourd’hui en raison de l’exploit, et la valeur de marché du projet est actuellement estimée à environ 27 millions de dollars. Ces chiffres semblent faibles pour le monde de la crypto mais, en réalité, ce sont des montants qui changeraient la vie de la plupart des gens dans le monde. Il a fallu 500 000 dollars pour exécuter l’exploit, ce qui a entraîné une augmentation de 2 900 % pour l' » attaquant « .
En faisant transiter l’argent par Tornado Cash, l’argument en faveur de DeFi selon lequel toutes les transactions sont traçables devient beaucoup plus faible. Le seul moyen, à mon avis, est de suivre l’argent. L’exploiteur a envoyé des ETH en coupures de 100, 10 et 1. Ainsi, dans ce cas, le suivre nécessiterait de tracer chaque retrait de ces montants de Tornado Cash dans un avenir prévisible. Une tâche qui n’est pas viable. Même si cela pouvait être réalisé, ils n’ont rien fait d’illégal. Contre les conditions d’utilisation ? Très probablement. D’une éthique douteuse ? Certainement, mais, comme nous le savons, la réglementation de DeFi est un domaine en pleine évolution, et cet incident est dû au fait que quelqu’un a effectué des transactions tout à fait légales sur une blockchain publique.
DeFi est un travail en cours. Il met en évidence un besoin croissant de meilleures pratiques et de tests accrus dans le développement de web3. Nous espérons que la confiance du public n’est pas ruinée par les rapports presque quotidiens d’exploits de DeFi.
