Le super combo - Growth DeFi - REKT
Les jours se suivent et se ressemblent.
Enfermés, connectés, lessivés.
Des millions de dollars volatilisés, mais personne ne bronche.
Nous découvrons l’existence même de certains protocoles lorsqu’ils sont mis sous le feu des projecteurs par des hackers qui les attaquent en utilisant des techniques vieilles comme le monde cryptographique.
BT Finance ? Growth DeFi ? Les petits protocoles du tout venant sont des proies faciles pour les tueurs en série qui rôdent avec sang-froid dans les rues obscures tard la nuit.
On a déjà connu ça, vous connaissez la chanson. Un peu de manipulation de prix, des promesses de gain, et on finit par partir avec la caisse. Rien de nouveau sous le soleil : on ne change pas une tactique qui gagne.
BT finance n’avait pas même besoin des hackers pour sombrer : le projet était déjà condamné à sombrer à cause d’une affaire de droits d’auteur. Les utilisateurs, comme envoûtés par le charmant slogan “Le meilleur rendement pour vos tokens”, auraient peut-être dû anticiper cela…
Si vous déposez votre argent dans un protocole innovant ou en concurrence avec quelque chose qui existe déjà, alors une certaine prise de risque peut se justifier. Mais ces copycats de basse qualité ne peuvent intéresser que des parieurs ne cherchant pas à investir sur le long-terme.
Aucune surprise à ce que BT finance tombe donc.
1.5 millions de dollars. Un braquage éclair, comme si l’on avait simplement volé une sucette à un enfant. Un audit de chez Peckshield est-il censé être un moyen de dissuasion contre les hackers, ou alors une invitation ? C’est encore confus à ce stade.
Le cas Growth DeFi est un peu plus complexe.
Leur produit n’était certes pas novateur, mais ils avaient travaillé dur et réussi à se construire une base d’utilisateurs avant d’être victime d'une attaque plus originale qu’à l’accoutumée.
En forçant le contrat de staking à accepter de la liquidité avec une paire de tokens dont un était faux, l’assaillant a réussi à sortir 1,3 millions de dollars.
L'attaquant a créé un faux jeton appelé AXZ et a fourni la paire rAXZZ/GRO comme liquidité. Il l'a ensuite stacké dans le contrat et a extrait l'autre paire.
@r0bster97 a fait un résumé de l'attaque.
Swap de 0.001 $ETH pour ~0.0148 $GRO
~0.0148 $GRO et 100,000,000,000 $AXXZ de liquidité sur Uniswap
Retrait de ~27,516 $GRO et de ~1,218 $rAAVE de liquidité sur Uniswap.
"Missing if-condition in the smart contract code"
Swap de ~27,516 $GRO pour ~597 $ETH sur Uniswap.
Jour de paye
L'équipe de Growth DeFi a fourni une analyse plus approfondie de l'attaque ici, sur leur page Medium.
Deux attaques, deux techniques, mais à la fin un même résultat identique.
C’est un total de 2,7 millions de dollars qui s’est envolé, et ce sans que cela n’engendre véritablement de conséquences.
Un jour comme un autre dans l’univers impitoyable de la DeFI.
L’argent finit toujours dans la poche des joueurs les plus malins, que cela se fasse en passant par la fraude ou non.
Ne comptez pas sur les audits d’autrui pour vous faire un avis. Faites les vous-même, ou entourez-vous de gens capables de les faire.
Dans un jeu où les meilleurs joueurs cherchent à se faire déjouer les uns les autres, la meilleur chose à faire pour les plus modestes est de rester prudent.
REKT sert de plateforme publique pour des auteurs anonymes, nous déclinons toute responsabilité quant aux opinions ou contenus hébergés sur REKT.
faites un don (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
avertissement:
REKT n'est responsable en aucune manière du contenu publié sur notre site Web ou en lien avec nos Services, qu'il soit publié ou occasionné par l'Auteur Anon de notre site Web, ou par REKT. Bien que nous fournissions des règles pour la conduite et les publications de l'Auteur Anon, nous ne contrôlons pas et ne sommes pas responsables de ce que l'Auteur Anon publie, transmet ou partage sur notre site Web ou nos Services, et ne sommes pas responsables de tout contenu offensant, inapproprié, obscène, illégal ou autrement répréhensible que vous pourriez rencontrer sur notre site Web ou nos Services. REKT ne saurait être tenu responsable de la conduite, en ligne ou hors ligne, de tout utilisateur de notre site Web ou de nos services.