in

Les pirates siphonnent des millions de crypto-monnaie à partir de l’échange dForce

 

Le protocole chinois de finance décentralisée (DeFi) dForce a été victime d’un exploit bien connu d’un jeton Ethereum qui a entraîné le vol de 25 millions de dollars de crypto-monnaie de ses clients.

Tel que rapporté par Déchiffrer, DForce a récemment annoncé qu’elle avait obtenu 1,5 million de dollars dans un tour de financement de démarrage dirigé par le fonds de capital-risque de crypto-monnaies Multicoin Capital. Cependant, ces fonds ont été drainés des contrats d’un protocole de prêt qui fait partie de dForce appelé Lendf.Me.

Lendf.Me est maintenant hors ligne et tous ses contrats intelligents ont été suspendus. Cependant, les pirates ont restitué 126,014 $ des fonds volés à la plate-forme de prêt avec une note, qui se lisait « Une meilleure chance la prochaine fois ».

Vulnérabilité du jeton ERC777

Une attaque similaire a récemment été lancée contre la bourse décentralisée Uniswap pour voler plus de 300 000 $. Les contrats intelligents de la bourse contenant une version à jetons basée sur Ethereum de Bitcoin exécutée par TokenIon appelée imBTC ont été épuisés. Le lien entre les deux attaques porte sur le fait que Lendf.ME a intégré imBTC plus tôt cette année.

L’attaque Uniswap a exploité une vulnérabilité connue dans la norme de jeton ERC77. À la suite de la façon dont Uniswap des contrats intelligents sont mis en place, un pirate pourrait continuellement retirer des fonds ERC77 d’Uniswap avant la mise à jour du solde ce qui pourrait leur permettre de vider les contrats de l’imBTC.

Bien que le hack dForce soit complètement distinct du hack Uniswap, on pense que le même exploit a été utilisé dans les deux attaques. La vulnérabilité n’est pas nouvelle et le cabinet ConsenSys a effectué un audit approfondi d’Uniswap il y a 16 mois, concluant qu’il s’agissait d’un problème «majeur».

Pour aggraver les choses, le PDG de Compound, Robert Leshner, affirme que Lendf.Me s’était approprié son code open source. Dans un tweet, Leshner a appelé la sécurité de Lendf.Me en disant: «Si un projet n’a pas l’expertise pour développer ses propres contrats intelligents, et qu’il vole et redéploie à la place le code protégé par le droit d’auteur de quelqu’un d’autre, c’est un signe qu’ils n’ont pas la capacité ou intention de considérer la sécurité.

Pour l’instant, dForce n’a pas discuté du piratage sur ses réseaux sociaux et il semble que le reste des fonds volés ne sera pas retourné de sitôt.

 

Comments

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Loading…

0

L’alerte de sécurité de Google Chrome affecte des milliards d’utilisateurs: que faire maintenant

Les faux Netflix et Disney Plus volent des données personnelles – voici comment rester en sécurité