Un nouveau protocole de finance décentralisée DeFi a été victime de hackers qui sont parvenus à exploiter une faille dans son système afin de voler deux millions de jetons DAI.
Le jeton DAI est un stablecoin Ethereum, les pirates ont donc réussi à dérober environ deux millions de dollars.
Akropolis est un fournisseur de services de prêt et d’épargne DeFi.
Le protocole DeFi Akropolis a publié un résumé de ce qu’il s’est passé, intitulé Delphi Savings Pool Exploit, et ce que la société compte faire vis-à-vis des utilisateurs impactés par ce vol de cryptomonnaie.
Below is our official statement regarding the Delphi Savings Pool Exploit.
We are committed to transparency and keeping our users informed of how we are proceeding with the attack and reimbursement for those impacted by the exploit.
Thank you.https://t.co/i2peS4CSmn
— Akropolis (@akropolisio) November 12, 2020
Les deux millions de DAI ont été prélevés des pools yCurve et sUSD du système.
Ces pools avaient été audités par deux cabinets indépendants, cependant, les vecteurs d’attaque utilisés dans cette faille de sécurité n’ont été identifiés dans aucun des deux audits.
La faille du sytème utilisée par les cybercriminels est une combinaison d’une attaque de rentrée avec l’origination de prêts flash dYdX, indique l’équipe D’Akropolis.
Akropolis liste aussi les pools qui n’ont pas été affectés par l’attaque dont Compound DAI, Compound USDC, AAVE sUSD, AAVE bUSD, Curve bUSD, Curve sBTC; Native AKRO et ADEL staking pools.
La société réfléchit à une solution pour rembourser les utilisateurs qui ont perdu des fonds dans cette attaque.
Akropolis a diffusé l’addresse Ethereum où ont été envoyés les fonds en DAI volés.
Tous les pools de stablecoins ont été mis en pause le temps d’enquêter sur cette attaque, les échanges crypto ont été informés afin de bloquer des fonds que les voleurs pourraient tenter d’échanger sur des plateformes de trading comme Binance.
« Nous sommes en train de revoir le code et les procédures de sécurité et publierons dès que possible un post-mortem avec notre analyse;
Nous explorons des moyens de rembourser les utilisateurs pour la perte d’une manière qui soit durable pour le projet, et ferons une proposition à la communauté avant toute décision finale. »
La CEO Ana Andrianova a indiqué que la faille de sécurité exploitée par les hackers n’est pas la même que celle qui a affecté le projej DeFi Harvest Finance qui s’est fait voler 24 millions de dollars !
Si la finance décentralisée attire beaucoup d’investisseurs et de traders, de nombreux protocoles sont encore peu sûrs et peuvent donc être facilement attaqués par des informaticiens doués qui savent exploiter des failles du sytème.
Il faut donc être prudent avec les nouveaux protocoles DeFi encore peu connus, il y a même une fausse application Uniswap qui a été repérée sur le Google Play Store.