Un hacker vide 5,9 millions de dollars du fournisseur de liquidités Ethereum TrustedVolumes

TrustedVolumes, un fournisseur de liquidité sur la Blockchain Ethereum, a perdu environ 5,9 millions de dollars au profit d'un hacker jeudi.

L'attaquant a pu exploiter une vulnérabilité dans le système de trading personnalisé utilisé par la plateforme et a réussi à retirer les fonds, qui comprenaient de l'ETH, du WBTC, ainsi que des stablecoins USDT et USDC.

Ce qui s'est passé

Selon la société de sécurité blockchain Blockaid, qui a détecté l'exploit au moment où il se produisait, les fonds volés comprenaient 1 291 WETH, environ 16,9 WBTC, environ 206 000 USDT et un peu moins de 1,27 million d'USDC.

L'attaque a fonctionné en abusant d'une faille de conception dans le système de règlement d'ordres personnalisé de TrustedVolumes, connu sous le nom de proxy Request for Quote (RFQ).

GoPlus Security a publié une analyse montrant que l'attaquant s'est enregistré lui-même en tant que « signataire d'ordre » autorisé en utilisant une fonction appelée « registerAllowedOrderSigner() » qui était accessible publiquement.

La fonction permet à quiconque de désigner sa propre adresse comme signataire valide pour les transactions qu'il contrôle, et bien que cela soit normalement suffisamment inoffensif, la fonction de règlement présentait un problème distinct : elle vérifiait l'autorisation par rapport à une adresse tout en tirant réellement les fonds d'une adresse différente.

Comme détaillé dans un rapport technique publié par le chercheur en sécurité Defi Nerd, l'attaquant a utilisé cette faille pour exécuter quatre transactions de vidage contre le contrat résolveur de TrustedVolumes, qui avait précédemment accordé au proxy la permission de déplacer ses tokens.

Selon eux, à chaque fois, le proxy extrayait les actifs du résolveur et ne renvoyait qu'une seule unité brute d'USDC. Ensuite, l'attaquant a converti le WETH volé en ETH et a tout transféré vers son propre portefeuille.

TrustedVolumes a confirmé l'exploit et a publiquement posté trois adresses de portefeuilles contenant les fonds volés, demandant au hacker de prendre contact au sujet d'un « bug bounty et d'une résolution mutuellement acceptable ».

1inch prend ses distances alors que les piratages DeFi continuent

Parce que TrustedVolumes fonctionne comme fournisseur de liquidité et teneur de marché sur 1inch, certains premiers rapports ont présenté l'incident comme un exploit de 1inch.

Cependant, ce n'est pas exact, et 1inch ainsi que Blockaid ont publié des déclarations précisant que le protocole lui-même n'a pas été compromis et qu'aucun fonds d'utilisateur sur 1inch n'a été affecté. TrustedVolumes opère indépendamment sur plusieurs plateformes, pas exclusivement sur 1inch.

L'attaque s'est produite pendant une période particulièrement difficile pour l'écosystème décentralisé, car elle a fait suite à un mois d'avril catastrophique, où plus de 650 millions de dollars de crypto ont été volés à différents projets.

KelpDAO et Drift Protocol ont été les plus touchés, avec respectivement 292 millions de dollars et 285,2 millions de dollars dérobés.

Ainsi, avec 5,9 millions de dollars, ce dernier exploit est plus modeste en termes d'échelle. Mais la sophistication technique de l'approche — déployer un contrat auxiliaire, abuser de l'enregistrement en libre-service des signataires et exploiter une inadéquation entre le teneur de marché et la source de financement en une seule transaction — le place dans une catégorie différente d'un simple bug ou d'une mauvaise configuration.

L'article Hacker Drains $5.9M From Ethereum Liquidity Provider TrustedVolumes est apparu en premier sur CryptoPotato.