Deus DAO - REKT
Deus rekt machina.
Un coup de théâtre inattendu a conduit à la liquidation des utilisateurs de Deus DAO qui utilisait le tout nouveau contrat de prêt DEI, l'assaillant réalisant un bénéfice de 3 millions de dollars.
Alors que ces attaques étaient autrefois monnaie courante, cinq mois se sont écoulés depuis la dernière fois que nous avons signalé une attaque par flash loan.
La DeFi est-elle en train de devenir plus forte ?
Une attaque via flash loan a été utilisée pour manipuler la solde de la pool Solidex USDC/DEI, solde qui est utilisé comme oracle pour la valeur du collatéral sur le contrat de prêt $DEI de Deus Finance.
Les positions des utilisateurs sont ainsi devenues insolvables, et le contrat du hacker a procédé à leur liquidation avant de rembourser le flash loan.
Crédit : Peckshield
1 : Flashloan 9,739342 DEI via SPIRIT-LP_USDC_DEI
2 : Flashloan 24,772,798 DEI à partir de la paire sAMM-USDC/DEI (utilisé comme oracle de prix pour calculer la valeur du collatéral)
3 : On liquide les utilisateurs qui deviennent insolvables à l'étape 2.
4 : On rembourse les 24 772 798 DEI empruntés sur la paire sAMM-USDC/DEI.
5 : On burn le LP token liquidé pour obtenir 5,218,173 USDC + 5,246,603 DEI.
6 : On échange 5,218,173 USDC contre 5,170,594 DEI.
7 : On rembourse le flash loan avec 3 001 552 DEI comme profit du hack.
Tx d'attaque :
0xe374495036fac18aa5b1a497a17e70f256c4d3d416dd1408c026f3f5c70a3a9c
L'assaillant a ensuite envoyé 3M USDC via Multichain depuis une adresse FTM vers une adresse ETH, et de là, 1,1k ETH et 200k DAI vers Tornado cash, soit un total de ~3M$ gagnés.
Le token du projet, DEUS, a chuté de 40 % dans l'heure qui a suivi l'attaque et, malgré une certaine reprise, demeure volatile.
Deus a annoncé qu'il remboursera les utilisateurs touchés qui restituent leurs dettes DEI, en leur rendant leur collatéral liquidé.
La saison des flash loans a appris aux utilisateurs, même ceux qui ne sont pas techniciens, l'importance des oracles de prix.
Les normes de sécurité ont émergé suite à notre baptême du feu, et l'écosystème a appris et progressé.
Nous savons que ces attaques peuvent être atténuées par l'utilisation d'oracles décentralisés ou TWAP.
Pourquoi Deus DAO n'a-t-il pas donc pas mis en place un système plus robuste ?
REKT sert de plateforme publique pour des auteurs anonymes, nous déclinons toute responsabilité quant aux opinions ou contenus hébergés sur REKT.
faites un don (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
avertissement:
REKT n'est responsable en aucune manière du contenu publié sur notre site Web ou en lien avec nos Services, qu'il soit publié ou occasionné par l'Auteur Anon de notre site Web, ou par REKT. Bien que nous fournissions des règles pour la conduite et les publications de l'Auteur Anon, nous ne contrôlons pas et ne sommes pas responsables de ce que l'Auteur Anon publie, transmet ou partage sur notre site Web ou nos Services, et ne sommes pas responsables de tout contenu offensant, inapproprié, obscène, illégal ou autrement répréhensible que vous pourriez rencontrer sur notre site Web ou nos Services. REKT ne saurait être tenu responsable de la conduite, en ligne ou hors ligne, de tout utilisateur de notre site Web ou de nos services.
vous pourriez aussi aimer...
Deus DAO - REKT 2
Deus DAO a fait des doubles dégâts. Dans une séquelle malheureuse faisant suite à l'incident du mois dernier, le protocole a désormais perdu 13,4 millions de dollars supplémentaires. Comment l'assaillant a-t-il contourné ce nouvel oracle ?
Tomb Finance - REKT
Le raid de Tomb Finance constitue la première victime de Fantom. L'équipe de Tomb affirme qu'il ne s'agit pas d'un hack, mais nous laisserons les lecteurs de rekt en juger.
Fortress Protocol - REKT
La forteresse est un champ de ruines après que 3M$ aient été volés suite à une manipulation d'oracle et un acte de gouvernance malveillant. L'interface utilisateur est mise en pause, mais les contrats restent actifs. L'écosystème de Fortress renflouera-t-il les utilisateurs pour les fonds perdus ?