Vee Finance - REKT



Le top 10 des rapines.

Vee Finance s'est fait dérober 34 millions de dollars, ce qui lui vaut la septième place de notre classement.

Plus AVAX gagnera en popularité, plus son taux de fraude augmentera. Il s’agit de la deuxième perte substantielle sur le réseau Avalanche ce mois-ci.

Zabu Finance a perdu 3,2 millions de dollars le 12 septembre, une petite somme comparée à la perte d'aujourd'hui, mais un montant énorme pour ceux qui ne sont pas habitués au drama de la DeFi.

Ce qui nous semble normal ne l'est pas pour le reste du monde.

34 millions de dollars dérobés, et pourtant cette histoire n'est qu'une parmi tant d'autres.

Ce qui suit est extrait du (premier) post-mortem officiel.

Adresse ETH de l'exploiteur : 0xeeee458c3a5eaafcfd68681d405fb55ef80595ba

Adresse AVAX de l'exploiteur : 0xeeeE458C3a5eaAfcFd68681D405FB55Ef80595BA

L'adresse Ethereum de l'exploiteur a été approvisionnée via TornadoCash en trois lots de 10 ETH : UN, DEUX, TROIS.

Les fonds ont ensuite été transférés vers Avalanche, où l'assaillant a échangé 26,999006274904347875 WETH.e contre 1 369 708 AVAX via Pangolin.

L'assaillant a ensuite déployé l'exploit contract 1 et l'a utilisé pour d'abord échanger des AVAX contre les tokens ciblés, avant de créer les paires d'échanges suivantes :

QI/WETH.e

XAVA//WETH.e

LINK.e/WETH.e

QI/LINK.e

XAVA/LINK.e

XAVA/WBTC.e

LINK.e/WBTC.e

Une fois que l'attack contract avait été financé avec 20 AVAX dans 5 adresses, la préparation était terminée et l'exécution de l'exploit pouvait commencer.

Après un premier échec dû à un trop faible niveau de gas, l'assaillant a pu utiliser un dynamic contract pour effectuer des transactions à effet de levier sur la paire QI/WETH.e, avant de subir un nouvel échec.

Après avoir déployé un nouvel attack contract, les mêmes étapes ont été suivies, cette fois avec succès.

Des trades répétées de USDT.e vers ETH.e ont été effectuées via AugustusSwapper.

Finalement, une troisième attaque a été déployée.

Pendant le trading à effet de levier, Vee Finance utilise un oracle de prix à source unique : les prix des actifs dans les pools Pangolin. En tradant entre ces paires nouvellement créées, l'assaillant a pu manipuler les prix référencés par Vee Finance.

Cette manipulation, associée au fait que l'acquisition des prix n'était pas traitée pour les décimales, a permis d'approuver des transactions qui n'auraient normalement pas passé la vérification du slippage du protocole.

Pour une analyse approfondie de l'exploit, il convient de se reporter au deuxième post-mortem de Vee Finance du jour.

Les fonds volés ont été bridgés sur Ethereum pendant et après l'attaque via une série de plus de 100 transactions, comme par exemple celle-ci.

Le portefeuille Ethereum de l'exploiteur contient actuellement un total de 214 WBTC (9,3 millions de dollars) et 8 804 WETH (26,9 millions de dollars).

Selon le rapport d'incident de Vee Finance, "L'équipe de VEE travaille activement à clarifier l'incident et continuera à essayer de contacter l'assaillant pour récupérer les actifs", et invite le hacker à accepter une prime de bug.

L'équipe a envoyé une transaction aux adresses de l'exploiteur à la fois sur Ethereum et Avalanche, avec le message suivant, également partagé sur Twitter :

Bonjour, c'est l'équipe de vee.finance. Nous sommes prêts à lancer un programme de prime de bug pour celui que vous avez identifié, veuillez nous contacter via contact@vee.finance.

D'autres transactions entrantes contenaient également des messages, allant du simple avertissement :

Votre adresse a été repérée par l'équipe

À l'auto-promo :

Salut c'est @yannickcrypto, merci de me suivre sur twitter https://twitter.com/yannickcrypto.

À la plus pure mendicité on-chain :

Grand monsieur, faites un geste pour un pauvre homme qui n’a pas les moyens de s’acheter à manger.

Au moment de la mise sous presse, il n'y avait toujours pas de réponse de la part du grand monsieur.

Vee Finance a ignoré les recommandations formulées dans son audit Slowmist, et son audit Certik ne lui a pas été d’une grande aide non plus.

Tout projet qui apparaît dans des "groupes de pump" tels que celui-ci ne fonctionne pas du tout correctement.

Assisterons-nous à une remontée en forme de V, ou la valeur s'est-elle véritablement volatilisée ?

(Veuillez tenir compte de la mission de votre auteur anonyme lorsque vous nommez vos protocoles)


partager cet article

REKT sert de plateforme publique pour des auteurs anonymes, nous déclinons toute responsabilité quant aux opinions ou contenus hébergés sur REKT.

faites un don (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

avertissement:

REKT n'est responsable en aucune manière du contenu publié sur notre site Web ou en lien avec nos Services, qu'il soit publié ou occasionné par l'Auteur Anon de notre site Web, ou par REKT. Bien que nous fournissions des règles pour la conduite et les publications de l'Auteur Anon, nous ne contrôlons pas et ne sommes pas responsables de ce que l'Auteur Anon publie, transmet ou partage sur notre site Web ou nos Services, et ne sommes pas responsables de tout contenu offensant, inapproprié, obscène, illégal ou autrement répréhensible que vous pourriez rencontrer sur notre site Web ou nos Services. REKT ne saurait être tenu responsable de la conduite, en ligne ou hors ligne, de tout utilisateur de notre site Web ou de nos services.