Bent Finance - REKT

Mais il semble que, cette fois-ci, cela soit dû à une défaillance structurelle provenant de l'intérieur.

Bent Finance est une "plateforme de staking et de farming visant à améliorer vos rendements liés à curve".

Au cours des dernières semaines, une adresse a tordu les règles du protocole, soutirant environ 1,75 million de dollars avant que la situation ne soit redressée.

Lorsque la nouvelle est tombée, et que le prix du $BENT s'est effondré, l'équipe a diffusé un timide avertissement informant les utilisateurs que les récompenses avaient été suspendues, mais qu'aucun fonds n'avait été perdu.

Cependant, lorsque PeckShield a affirmé avoir constaté que l'exploit provenait de l'intérieur…

...l'équipe a été forcée de publier une mise à jour, qui pourrait être interprétée comme la dénonciation d’un complot interne :

Source : BlockSecTeam

Ce cas est beaucoup plus simple que celui d'une manipulation technique de smart contract.

Le contrat cvxCRV de Bent Finance a été mis à jour le 30 novembre afin d'ajuster manuellement le solde de l'adresse de l'exploiteur.

Cela a permis à l'exploiteur de recevoir d'énormes quantités de récompenses, jusqu'à ce que celles-ci dépassent même largement la TVL de Bent Finance.

Bien que l'exploit soit actif depuis près de trois semaines, le problème n'est apparu clairement qu'avec la récente inscription de Bent Finance sur DeBank, lorsque le profil du portefeuille de l'exploiteur a fait apparaître les milliards de dollars de récompenses en attente sur la plateforme.

Si l'on regarde les transactions de tokens du portefeuille principal, on voit une poignée de petits dépôts, suivis de très gros retraits, dont un le 12 décembre (de 263k cvxcrv-f) et un autre aujourd'hui à 02:45 du matin +UTC (de 250k cvxcrv-f).

Les tokens ont ensuite été envoyés sur l'adresse secondaire de l'exploiteur, où ils ont été encaissés en CRV, échangés contre des ETH et envoyés sur Tornado Cash.

C'est au total 440 ETH (~1,75M$) qui ont été blanchis via Tornado Cash entre le 12/12 et aujourd'hui.

Le rôle que le listing de Bent Finance de DeBank a joué dans l'affaire d'aujourd'hui et la récente levée de fonds de 75 millions de dollars de Nansen montrent la valeur que ces services apportent au secteur de plus en plus complexe qu'est la DeFi.

Bien que les données sur la blockchain fournissent toutes les informations nécessaires à ceux qui disposent des connaissances (et de la motivation) pour enquêter, ces outils augmentent considérablement la probabilité de repérer des irrégularités dans les projets moins médiatisés.

Toutefois, dans le cas de Bent Finance, compte tenu de la source de l'exploit et de la réaction de l'équipe, il est bien probable qu'il s'agisse d'un coup venant de l’intérieur :

Rug pull ou membre de l'équipe véreux ?

Des hacks bien plus importants ont récemment fait les gros titres, et des incidents comme celui-ci seront bientôt relégués aux oubliettes.

C'est peut-être ce sur quoi mise l'équipe de Bent Finance...

REKT sert de plateforme publique pour des auteurs anonymes, nous déclinons toute responsabilité quant aux opinions ou contenus hébergés sur REKT.

faites un don (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

avertissement:

REKT n'est responsable en aucune manière du contenu publié sur notre site Web ou en lien avec nos Services, qu'il soit publié ou occasionné par l'Auteur Anon de notre site Web, ou par REKT. Bien que nous fournissions des règles pour la conduite et les publications de l'Auteur Anon, nous ne contrôlons pas et ne sommes pas responsables de ce que l'Auteur Anon publie, transmet ou partage sur notre site Web ou nos Services, et ne sommes pas responsables de tout contenu offensant, inapproprié, obscène, illégal ou autrement répréhensible que vous pourriez rencontrer sur notre site Web ou nos Services. REKT ne saurait être tenu responsable de la conduite, en ligne ou hors ligne, de tout utilisateur de notre site Web ou de nos services.