Value DeFi - REKT 3



Deux fois en une semaine.

Value DeFi déraille.

Il y a six mois, ils perdaient 7 millions de dollars. Il y a trois jours, ils ont perdu 10 millions de dollars.

Et aujourd'hui, ils perdent de nouveau 11 millions de dollars.

Brutal, sauvage, rekt.

La "cofondatrice" de Value était une actrice rémunérée. Le code a été copié et utilisé de manière incorrecte, et, en conséquence, Value DeFi a été complètement démoli.

Cela sera-t-il la troisième et dernière fois, ou bien est-ce que les singes vont continuer à pardonner et à oublier ?

Qu'est-ce qui a bien pu si mal se passer avec Value DeFi ?

Environ 11 millions de dollars ont été dérobés dans les pools vSwap AMM vSwap.

L'incident a été provoqué par l'utilisation inappropriée d'une complexe fonction d'exponentiation power() derrière le calcul et l'application de l'invariant du produit constant pondéré.

Toutes les pools dont les liquidités n'étaient pas réparties à parts égales entre les actifs ont été exploitées.

Étant donné qu'Uniswap ne prend en charge que les pools avec un ratio d'actifs de 50/50, Value DeFi a utilisé la formule Bancor pour ses pools non standard.

Transaction de référence : 0x2fd0aaf0bad8e81d28d0ee6e4f4b5cbba693d7d0d063d1662653cdd2a135c2de

1 : En premier lieu, l'assaillant envoie une petite quantité d'un second token à des pair adresses.

2 : Puis il effectue un échange dans lequel il souhaite retirer une petite quantité du premier token et une grande quantité du second token.

3 : En raison de l'utilisation incorrecte de la formule Bancor, les pairs contracts considèrent que le swap est réussi (root of exploit).

Les fonds volés :

  • 15k BNB
  • 2.7k FARM
  • 1.7k BASv2
  • 8.5 millions BDO
  • 68.3k BUSD
  • 41.4k MDG
  • 945k VBOND
  • 1.2 millions BAC
  • 11k FIRO

Source : frankresearcher

Notez que la routine power() prend quatre arguments (baseN, baseD, expN, et expD) et est utilisée pour calculer une approximation entière de (baseN/baseD)^(expN/expD)*(2^precision) où la précision est utilisée pour le résultat calculé. Cependant, il y a une caveat dans la façon dont cette fonction power() doit être utilisée. Elle suppose explicitement que baseN ne doit pas être inférieure à baseD, i. e. que baseN >= baseD. Dans cette attaque, la fonction swap() de la pool est call avec une entrée modifiée qui viole intentionnellement la présomption ci-dessus. En conséquence de cela, l'application du produit constant pondéré est passée pendant que les fonds de la pool sont vidés.

Source : peckshield

Bien qu'ils aient atteint la troisième place de notre classement, le token natif de Value DeFi a réussi à se rétablir quelque peu depuis le dernier exploit. Nansen nous révèle cependant que le volume du DEX diminue de façon constante.

Un nouveau changement de nom sauvera-t-il le protocole le plus piraté d'entre tous de la perte de tous ses utilisateurs ou est-ce la fin de l'aventure de Value DeFi ?

L'équipe de Value DeFi a rassuré les utilisateurs sur la sécurité de leur plateforme quelques heures seulement avant le dernier exploit, en tweetant à propos de mesures de sécurité accrues qui manifestement n'ont eu aucun effet. Il est difficile d'imaginer à l'avenir que quelqu'un puisse faire confiance à ces développeurs anonymes, lesquels ont admis avoir utilisé une actrice payée sur Fiverr pour jouer le rôle de leur fondateur et qui, une fois confrontés à ce sujet par un utilisateur, ont répondu quelque chose de ce genre :

La fille que nous présentons comme notre cofondatrice dans cette vidéo n'est en fait qu'une actrice rémunérée. Il se trouve en fait que l'un de nos développeurs utilise ce pseudonyme en ligne, et nous avons donc trouvé par coïncidence une actrice portant le même nom sur Fiverr pour qu'elle apparaisse dans notre vidéo !

La Ape tax est particulièrement élevée pour les utilisateurs de Value DeFi, le protocole DeFi le moins sécurisé du marché. Mais qui pourrait avoir de la compassion pour les utilisateurs de projets de si piètre qualité ?

Nous sommes très reconnaissants pour tous les nouveaux lecteurs que Value DeFi nous a apportés au cours des derniers mois, mais nous espérons que ce sera la dernière fois.

Bien que nous nous moquions des échecs répétés des fondateurs, il convient de rappeler que ce ne sont pas leurs fonds qui sont volés. Si ces derniers envisagent de poursuivre leurs activités, ils se doivent de redoubler d'efforts.

Au lieu de vous concentrer sur les fausses communications, concentrez-vous sur la sécurité de vos utilisateurs qui sont eux bien réels, et non sur l'accumulation d'audits de sécurité sans valeur.

Il serait peut-être sinon temps de renoncer et d'arrêter de mettre les fonds des utilisateurs en danger.

Value DeFi sera-t-il capable de mettre fin à ses opérations en toute sécurité, ou assisterons-nous bientôt à un exit scam ?


partager cet article

REKT sert de plateforme publique pour des auteurs anonymes, nous déclinons toute responsabilité quant aux opinions ou contenus hébergés sur REKT.

faites un don (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

avertissement:

REKT n'est responsable en aucune manière du contenu publié sur notre site Web ou en lien avec nos Services, qu'il soit publié ou occasionné par l'Auteur Anon de notre site Web, ou par REKT. Bien que nous fournissions des règles pour la conduite et les publications de l'Auteur Anon, nous ne contrôlons pas et ne sommes pas responsables de ce que l'Auteur Anon publie, transmet ou partage sur notre site Web ou nos Services, et ne sommes pas responsables de tout contenu offensant, inapproprié, obscène, illégal ou autrement répréhensible que vous pourriez rencontrer sur notre site Web ou nos Services. REKT ne saurait être tenu responsable de la conduite, en ligne ou hors ligne, de tout utilisateur de notre site Web ou de nos services.