Hundred Finance perd 7 millions de dollars dans le piratage d’Optimism
Le pirate aurait manipulé le taux de change entre les jetons ERC-20 et les hTOKENS pour voler plus de 7 millions de dollars au protocole.
Le protocole de prêt multichaîne Hundred Finance a connu une importante faille de sécurité sur la blockchain Ethereum layer-2 Optimism. Le protocole a tweeté que les pertes s’élevaient à 7,4 millions de dollars.
Hundred Finance a annoncé l’exploit le 15 avril, indiquant qu’elle avait contacté le pirate et qu’elle travaillait avec diverses équipes de sécurité sur l’incident. Bien que le protocole n’ait pas révélé comment l’attaque a été exécutée, la société de sécurité blockchain CertiK a déclaré qu’il s’agissait d’une attaque par prêt flash :
Les attaques par prêt flash impliquent qu’un pirate emprunte une grande quantité de fonds par le biais d’un type de prêt sans garantie auprès d’un protocole de prêt. Le pirate utilise ensuite ces fonds pour manipuler le prix d’un actif sur une plateforme de finance décentralisée (DeFi).
Dans le cas de Hundred, l’attaquant a manipulé le taux de change entre les jetons ERC-20 et les hTOKENS, ce qui leur a permis de retirer plus de jetons que ceux déposés à l’origine, selon Certik. La société de sécurité blockchain poursuit :
« La formule du taux de change a été manipulée par le biais de la valeur Cash. Le cash est la quantité de WBTC que le contrat hBTC possède. L’attaquant l’a manipulée en donnant de grandes quantités de WBTC au contrat hToken afin que le taux de change augmente. »
Certik affirme que des prêts importants ont été contractés dans le cadre du taux de change manipulé. Hundred Finance préparait un rapport post-mortem sur l’incident.
Cette attaque survient près de 12 mois après que Hundred a été exposée à un autre exploit sur la chaîne Gnosis. À l’époque, le pirate avait drainé toutes les liquidités du protocole par le biais d’une attaque de réentrance, s’emparant de plus de 6 millions de dollars. Au cours de la même opération, le pirate a également dérobé des fonds au protocole Agave.
Depuis l’année dernière, un certain nombre d’auteurs ont utilisé des attaques par prêt éclair pour cibler les protocoles DeFi. Parmi les cas récents, citons les attaques contre Euler Finance (196 millions de dollars) et Mango Markets (46 millions de dollars). Le pirate d’Euler a restitué la plupart des fonds, tandis que le voleur de Mango a été arrêté par les autorités américaines.
