Cover - REKT
La prochaine fois, prenez-soin de vos services bordel.
Les pièces s'accumulent, mais celles-ci ne sont pas en chocolat : nous sommes en plein classique Hollywoodien, un film noir d’assurance.
Les revenus en noir et blanc des polices d'assurance se prêtent bien aux histoires Hollywoodiennes.
Dans Assurance sur la mort (1944), l'assurance est la force motrice du bien et du mal.
Le film tire son nom d'une clause d’une assurance-vie qui est doublée si le décès de l’assuré est accidentel.
Cela donne un scénario à rebondissements où un vendeur d’assurance échafaude tout un plan pour maquiller le meurtre du mari de sa maîtresse en accident afin de recevoir un double paiement.
Ne prenez jamais rien pour argent comptant. Les péripéties et les scripts de la DeFi ne sont jamais simples et linéaires L’anonymat et la composabilité sont un terreau fertile pour les complots, et il y a plusieurs façons de profiter d’un seul accident, si bien que les joueurs les plus malins n'héritent pas toujours de la récompense la plus ostensible.
9,4 millions de dollars ont été volés, 3,2 millions de dollars récupérés et 6,2 millions de dollars perdus.
COVER (anciennement appelé SAFE) a chuté de ~90% lorsqu’une faille permettant de mint à l’infini a été découverte et exploitée, faisant augmenter l'offre totale de tokens de 48 billiards pour cent, soit de 84 477 tokens totaux à 40 796 131 214 802 600 000.
Six adresses différentes ont mint du COVER via cette faille avant qu’elle ne soit refermée. Certains ont gardé l’argent, d’autres non.
Parmi ces six adresses ayant exploité la faille, Grap Finance, jusqu'alors inconnue, est celle qui a fait le plus parler d’elle, ayant profité de l'occasion pour se présenter comme un groupe de hackers éthiques en revendant ses COVER mintés pour des ETH afin dans les rendre avec un message cinglant.
Le code fait loi, mais les failles demeurent - nous pouvons compter sur les attaquants pour en profiter, mais nous savons que les choses sont rarement aussi simples qu'elles ne le paraissent.
Qui avait une couverture sur $COVER ? Nous sommes allés le découvrir.
Rekt OPSEC
La première attaque s’est faite en quatre étapes par un seul attaquant, mais l’histoire est devenue plus compliquée lorsque la faille fut rendue publique, et que d’autres wallets ont reproduit le processus.
Les chronologies suivantes sont extraites du post-mortem officiel de Cover. Pour une analyse plus poussée, veuillez vous référer à l’analyse étape par étape faite par @vasa_dev.
Chronologie de l’Exploitant 1
Dec-28–2020 04:09:27 AM +UTC
- Une nouvelle pool Balancer a été ajoutée au Blacksmith contract depuis le multisig de l’équipe grâce à une transaction liée à l'expiration de couvertures.
Dec-28–2020 08:08:12 AM +UTC
- Un assaillant exécute le premier dépôt sur le contrat, déposant 1,326,880 tokens BPT.
Dec-28–2020 at 08:11:16 AM +UTC
- Le même assaillant a ensuite call withdraw(), exploitant le contrat pour ~703.64 $COVER et retirant 1,326,878.99 BPT.
Dec-28–2020 08:47:15 AM +UTC
- La première vente de tokens $COVER liés à l’exploit peut être trouvée ici. Pendant ce temps, plusieurs comptes ont abusé de l'exploit et vendu leurs $COVER sur le marché.
Dec-28–2020 09:18:28 AM +UTC
- L'assaillant continue de mint alors que le vecteur d’attaque est toujours là.
Au total, l’Exploitant 1 a volé pour environ 4.4 millions de dollars de fonds avant de les transférer sur cette adresse.
Il semble que cette faille ait initialement été découverte par pur hasard, l'Exploitant 1 ayant à l’origine une mauvaise OPSEC, un wallet classique alimenté par un échangeur nécessitant un KYC, et une activité régulière depuis trois ans. Certains prétendent connaître l'identité de cet exploiteur et lui suggèrent de restituer les fonds.
Selon un scénario digne de la DeFi, l’assaillant originel a attiré peu d'attention par rapport à Grap Finance, qui ont pour leur part saisi l'opportunité de jouer le rôle du hacker éthique.
Chronologie de Grap Finance
Dec-28–2020 11:54:47 AM +UTC
- Grap Finance: Deployer (EOA) dépose 15,255.552810089260015362 BPT (DAI/Basis pool) au sein du Blacksmith farming contract.
Dec-28–2020 11:58:04 AM +UTC
- Grap Finance: Deployer retire ses 15,255.552810089260015361 BPT(DAI/Basis pool), ne laissant que 1 wei dans son solde dans le Blacksmith farming contract.
Dec-28–2020 11:58:56 AM +UTC
- Un autre utilisateur retire la plupart de son solde (1,007.599009946121991627 BPT) de Blacksmith. Désormais, Grap Finance dispose à lui seul de toutes les liquidités dans la pool DAI/Basis sur le contrat Shield Mining Blacksmith, soit exactement 1 wei.
Dec-28–2020 12:00:21 PM +UTC
- Grap Finance: Deployer redépose 15,255.552810089260015361 BPT (DAI/Basis pool) sur le Blacksmith farming contract.
Dec-28–2020 12:02:04 PM +UTC
- Grap Finance: Deployer claim les récompenses, et en raison du solde de seulement 1 wei combiné au problème de stockage/mémoire, cela amène un mint de 40 796 131 214 802 500 000.212114436030863813 $COVER.
Dec-28–2020 12:29:03 PM +UTC
- Grap Finance: Deployer commence à vendre autant de tokens que possible sur 1inch.exchange via de multiples transactions.
Dec-28–2020 12:59:27 PM +UTC
- Grap Finance: Deployer burn les tokens mintés
Dec-28–2020 at 01:41:01 PM +UTC
- Grap Finance: Deployer envoie les 4351 (1 + 4350) qu’ils ont extrait en vendant les $COVER au compte deployer, ce qui représente 34% du total des pertes liées à l’exploit (9,4 millions de dollars).
Couvert pas Cover
Il a fallu six heures au protocole Cover pour admettre publiquement l'attaque.
L'équipe enquête toujours sur l'incident actuel. L'exploit n'est plus possible.
S’il vous plaît, n'achetez PAS de tokens $COVER, et retirez vos liquidités de la pool COVER/ETH sur sushiswap.
Les pools d'équilibrage CLAIM/NOCLAIM ne sont pas affectées.
Huit heures après l'attaque, le protocole Cover a annoncé son plan en vue du remboursement des utilisateurs concernés.
Bonjour tout le monde, nous envisageons de fournir un token NEW_$_COVER via snapshot d’avant que l’exploit de minting n’ait été réalisé. Les 4350 ETH qui ont été retournés par l'attaquant seront également traités via snapshot aux détenteurs de tokens LP. L’enquête suit son cours. N'ACHETEZ PAS DE COVER.
L’expression "Ce qui est mort ne peut plus mourir” apparaît être plus vraie que jamais dans la DeFi. Une quatrième itération du token du protocole COVER sera émise pour rembourser les utilisateurs concernés.
SAFE - SAFE2 - COVER - $RECOVER?
La persévérance est admirable jusqu'à un certain point, mais trop n’est il parfois pas trop ?
Certains lecteurs se souviendront de l'histoire complète de Cover Protocol, qui, anciennement SAFE, changea de nom après que @azeemfi et @chefcoverage eurent pris de mauvaises décisions. Ils avaient ensuite lancé SAFE2, qui migra pour devenir le COVER que nous connaissons aujourd'hui.
La communauté est-elle prête à leur offrir une QUATRIÈME chance?
Grap Finance est un fork de Yam qui n’a pas réussi à briller durant l’été 2020 de la DeFi. Ils ont sauté sur l'occasion afin d'attirer l'attention en se présentant comme des hackers éthiques, ce qui leur a valu de gagner des milliers de followers en une seule journée.
Reste à voir ce qu'ils feront de ce nouveau départ.
Cette activité soudaine a placé Grap Finance dans les cinq principales Dapps pour les changements de solde de COVER au cours des 7 derniers jours.
Un succès de scandale reste une exposition publicitaire comme une autre, et cela semble être confirmé par le graphique suivant. 1,778 nouvelles adresses uniques ont utilisé COVER, et notamment des traders opportunistes cherchant à dépouiller la victime encore fraîche.
Ci-dessous, Binance est en vert. On constate une énorme augmentation des dépôts COVER, la communauté essayant de quitter le navire avant de finalement voir le trading du token s'arrêter.
Un comportement responsable peut ne pas rapporter énormément, mais le salaire du péché est toujours payé en totalité.
Certains disent que c'était un complot interne qui a mal tourné.
Peut-être que les assaillants ont été doxxés, qu’ils n'ont pas pu garder les fonds, qu’ils les ont renvoyés et ont alors profité d'un petit coup de publicité à la place.
Nous ne prétendons pas que ces rumeurs soient fondées sur des faits, mais il est facile de voir comment de telles idées surgissent lorsque les événements de la journée mènent à des annonces comme celles-ci.
Une pure coïncidence étant inconcevable, il s’agit là soit d’un acte criminel soit d’un cri de désespoir. MXC doit être tombé bien bas s'il répertorie les tokens en fonction des potins.
La sphère crypto de Twitter a prouvé que son appétit pour le risque restait important en pumpant le prix du token de leurs sauveurs de milliers de points, faisant passer son volume de négociation en 24 heures de 236 $ à 5,458,084 $ au moment de la rédaction de ces lignes.
Emiliano Bonassi nous a livré la citation suivante :
Si l’on met de côté le problème technique, cet événement a de nouveau montré à quel point cet écosystème est cohérent et solidaire.
Nous sommes antifragiles.
Je suis presque sûr qu'après cet événement émergera non seulement un nouveau protocole d’assurance, mais aussi et surtout un collectif hyper réactif pour garantir la sécurité de l’écosystème - peut-être L’Équipe des Hackers Éthiques.
Le sang coûte cher. Le marché DeFi de l'assurance est dans un sale état.
D'abord NXM et maintenant Cover. Qu’importe si le protocole n'est pas affecté. Si nous devons écrire un article sur vous, c’est que la confiance de l'utilisateur dans votre projet s’est déjà envolée.
L'assurance DeFi doit être exhaustive. Point de Divine Providence dans notre monde.
Les protocoles non sécurisés paient des bonus élevées, tandis que d'autres travaillent dur dans l’ombre sans rien réclamer.
En 4 heures, COVER a baissé de x40 tandis que $GRAP a augmenté de 40x.
“Pas de gains” assure l'équipe Grap de derrière leur écran, un beau conte qui ne raconte pas toute la vérité.
Les hackers malveillants ne sauraient garder leur masque de super-héros bien longtemps dans la tempête d'accusations.
L’enquête continue...
REKT sert de plateforme publique pour des auteurs anonymes, nous déclinons toute responsabilité quant aux opinions ou contenus hébergés sur REKT.
faites un don (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
avertissement:
REKT n'est responsable en aucune manière du contenu publié sur notre site Web ou en lien avec nos Services, qu'il soit publié ou occasionné par l'Auteur Anon de notre site Web, ou par REKT. Bien que nous fournissions des règles pour la conduite et les publications de l'Auteur Anon, nous ne contrôlons pas et ne sommes pas responsables de ce que l'Auteur Anon publie, transmet ou partage sur notre site Web ou nos Services, et ne sommes pas responsables de tout contenu offensant, inapproprié, obscène, illégal ou autrement répréhensible que vous pourriez rencontrer sur notre site Web ou nos Services. REKT ne saurait être tenu responsable de la conduite, en ligne ou hors ligne, de tout utilisateur de notre site Web ou de nos services.
vous pourriez aussi aimer...
Fortress Protocol - REKT
La forteresse est un champ de ruines après que 3M$ aient été volés suite à une manipulation d'oracle et un acte de gouvernance malveillant. L'interface utilisateur est mise en pause, mais les contrats restent actifs. L'écosystème de Fortress renflouera-t-il les utilisateurs pour les fonds perdus ?
MM Finance - REKT
Mad Meerkat Finance (à ne pas confondre avec Meerkat Finance normal) a perdu 2 million de dollars à cause d'un exploit de DNS. Attaques front-end, attaques back-end, quand cela cessera-t-il donc ?
Fei Rari - REKT
Fei Rari - rekt. Sept des pools Fuse de Rari ont été drainés pour un total d'environ 80 millions de dollars. Ce n'est pas la première fois que Rari se fait rekt - espérons que les hackers ne réaliseront pas le coup du chapeau.