Points clés à retenir
- Le piratage a utilisé une attaque de manipulation de prix pour tromper le contrat intelligent de Rari Capital en mal jugeant le prix de l’ibETH d’Alpha token.
- L’équipe a travaillé avec d’autres développeurs Ethereum pour corriger les vulnérabilités et a répondu activement aux questions de la communauté.
- Lors d’un appel communautaire, l’équipe de Rari a annoncé qu’elle renonçait à son token allocation pour rembourser les utilisateurs qui ont perdu des fonds dans cette attaque.
Après le piratage de 11 millions de dollars ce week-end, le natif de Rari token s’est écrasé de 18 $ à 10 $. L’équipe derrière le protocole a cependant agi rapidement pour guérir les victimes.
Rari Suffers Weekend Hack, baisse de 11 millions de dollars
Rari Capital est un protocole DeFi créant des coffres à rendement optimisé et offrant des prêts et des emprunts sur des jetons de niche. Récemment, l’équipe a intégré l’ibETH d’Alpha Finance token, qui est un Ethereum portant intérêt token. Le 8 mai, le contrat intelligent en charge du dépôt d’ETH dans le pool ibETH d’Alpha Finance a été piraté.
Alors que l’exploit ne menaçait aucun fonds Alpha, les fournisseurs de liquidité (LP) du pool Rari ETH ont perdu 2600 ETH combinés, totalisant plus de 10 millions de dollars. Les pirates ont artificiellement gonflé la valeur du pool ETH sur Rari en utilisant un prêt flash de dYdX. Ils ont ensuite retiré ETH du pool en utilisant une fonction à laquelle les pirates n’auraient pas dû avoir accès.
Cette technique est appelée une attaque de manipulation indirecte des prix. Il repose sur l’attaquant manipulant le token prix en utilisant un crédit flash pour gonfler artificiellement son prix pendant quelques brefs instants. Comme le prix du token sur le pool ETH de Rari est lié à la valeur de l’ibETH détenu par le protocole, la manipulation du prix de l’ibETH influence le pool d’ETH de Rari token ainsi que.
L’attaque reposait sur l’activation de la fonction «travail» du contrat ibETH par les attaquants, ce que l’équipe Rari je ne savais pas que c’était possible. Quantstamp, qui a audité les contrats, n’a pas non plus remarqué l’exploit. Rari Capital a déclaré qu’à l’avenir, ils travailleraient plus étroitement avec l’équipe d’origine dont ils intègrent le contrat et leur demanderaient de revoir les intégrations.
Bien qu’Alpha Finance ne puisse pas être blâmé pour l’exploit, s’ils avaient examiné la sécurité de l’intégration de Rari, ils auraient pu repérer la vulnérabilité. Les pirates ont laissé un message dans une transaction en attente affirmant que la réaction rapide d’Alpha avait permis d’économiser jusqu’à 6 millions de dollars de fonds pour les utilisateurs au moment du piratage. Aucun fonds sur Alpha n’a été volé.
https://twitter.com/bantg/status/1391054251388964867
Alpha Finance étaient eux-mêmes victimes d’un exploit similaire lorsque des pirates ont trouvé une vulnérabilité dans leur intégration de Banque de fer de CREAM. Les attaquants avaient ensuite pris plus de 37,5 millions de dollars de fonds en utilisant une tactique similaire de manipulation des prix basée sur des prêts flash. le compte lié au piratage était également responsable de la attaque récente sur le projet BSC Value DeFi.
L’équipe est allée au-delà de la résolution des bogues mentionnés ci-dessus. Tous les contributeurs au protocole ont décidé de renoncer à leur token allocation dans RGT pour rembourser toute personne touchée par le piratage. Les 2 000 000 RGT (d’une valeur actuelle de plus de 20 millions de dollars) ont été envoyés au DAO chargé à la fois de rembourser les fonds perdus et de récompenser ceux qui ont aidé Rari à combattre l’attaque.
Avertissement: l’auteur détenait BTC, ETH et plusieurs autres crypto-monnaies au moment de la rédaction de cet article.
Cette nouvelle vous a été présentée par ANKR, notre partenaire DeFi préféré.
Cet article est une traduction. Lire l’originale sur cryptobriefing
Parfois ma traduction est pourrie, mais le principal c'est que t'es l'info non ?