Les vulnérabilités des systèmes de prêts flash ne peuvent être détectées par des audits de contrats intelligents car ils exploitent la conception du système
Le protocole de prêt de la finance décentralisée (DeFi) Warp Finance a admis une attaque de prêt éclair qui a entraîné la perte de pas moins de 8 millions de dollars en actifs numériques. Cette dernière attaque fait suite à une série d’incidents de prêts flash qui ont exploité les vulnérabilités des protocoles DeFi. Au total, quatre attaques de ce type ont été signalées en une seule semaine le mois dernier.
Un prêt flash fait généralement référence à la pratique consistant à emprunter des prêts sous forme de crypto-garantie et à les rembourser dans le cadre d’une même transaction. Bien que les prêts flash soient considérés comme un outil important pour améliorer l’efficacité du marché de la DeFi, les audits de contrats intelligents tels que celui mené pour Warp par Hacken, ne protègent pas contre les prêts flash car ils exploitent la conception du système.
Lancé début novembre de cette année, Warp Finance vise à permettre aux utilisateurs de déposer des jetons de fournisseurs de liquidités provenant d’autres protocoles et de recevoir des prêts en stablecoins en échange. La plateforme est confrontée à une perte de 1 à 8 millions de dollars en raison de l’attaque.
Reconnaissant l’incident, Warp a tweeté « Nous enquêtons sur les prêts irréguliers de jetons d’épargne contractés au cours de la dernière heure. Nous vous recommandons de ne plus déposer de stablecoins jusqu’à ce que nous ayons des éclaircissements sur les irrégularités ». L’un des utilisateurs a rapidement répondu à l’avis en déclarant avoir perdu 40 000 DAI.
Le portail d’analyse DeFi Prime a alors pris connaissance de l’opération irrégulière et a annoncé l’attaque de prêt flash et la perte possible subie par Warp sur Twitter. Les pirates informatiques de White Hat enquêtent actuellement sur les fausses transactions qui ont conduit à l’incursion.
Emiliano Bonassi, le co-fondateur de la plateforme d’échange Marqet, s’est penché sur le processus à l’origine de l’attaque en déclarant : « C’est la deuxième attaque qui utilise des liquidités flash multiples, des échanges flash via Uniswap et des prêts flash via dYdX ».
Il a également expliqué que les attaquants ont demandé trois prêts Ether enveloppés via des flash swaps à trois pools différents sur Uniswap et deux autres sur la plateforme de négociation dYdX. Ces fonds ont été utilisés pour frapper des jetons de pool de liquidité WETH/DAI qui ont ensuite été utilisés comme garantie sur Warp Finance pour vider les coffres de l’USDC et du DAI.
Warp Finance semble être la dernière victime de la liste de plusieurs protocoles, dont bZX, Balancer, Origin Protocol, Akropolis et Harvest Finance, qui ont tous été victimes de l’exploitation de prêts flash par des crypto-voleurs.
L’incident met en évidence l’incapacité déjà pressante à comprendre complètement les risques liés aux prêts flash et souligne la nécessité de développer des stratégies d’atténuation efficaces pour prévenir de tels piratages à l’avenir.
