abbotts-lobster.com > Analyse de l'industrie > Les attaques de prêt flash entraînent une perte de 34 millions de dollars, mais peuvent-elles être arrêtées?
Analyse de l'industrie

Les attaques de prêt flash entraînent une perte de 34 millions de dollars, mais peuvent-elles être arrêtées?

DeFi Digest d’OKEx Insights est un examen hebdomadaire du secteur financier décentralisé.

Le marché de la finance décentralisée a connu une légère baisse la semaine dernière, la valeur totale bloquée dans les produits DeFi étant passée de 12,38 milliards de dollars à 11,04 milliards de dollars.. 

Uniswap a maintenu sa position de leader du marché avec une part de marché de 24% de la valeur totale en USD bloquée. La bourse décentralisée disposait également du plus grand pool de liquidités et maintenait sa domination du volume des transactions de 65%.. 

Poussé par le piratage de 34 millions de dollars de Harvest Finance, le volume des transactions des DEX a atteint 3,4 milliards de dollars le 26 octobre..

Dans le domaine des prêts décentralisés, Compound a continué de dominer, avec une part de marché de 54%.

La valeur totale verrouillée dans DeFi a chuté tandis que le volume hebdomadaire de DEX a explosé, à la suite du piratage de Harvest Finance. Sources: DeFi Pulse et DeBank

Le jeton KP3R de Keep3r Network maintient le battage médiatique DeFi en vie

Malgré la légère baisse de la valeur totale bloquée, le battage médiatique sur le marché DeFi est resté vivant après le lancement d’un nouveau jeton par Andre Cronje. Le fondateur de yearn.finance a annoncé KP3R, le jeton de son dernier projet – c’est-à-dire Keep3r Network, une place de marché décentralisée pour les emplois techniques. 

Semblable à ses projets précédents, comme eminence.finance, Cronje a souligné que keep3r.network est toujours en phase de test bêta. Cependant, les acteurs du marché étaient enthousiasmés par le dernier protocole de Cronje et KP3R monté en flèche de 25 $ à 350 $ sur Uniswap dans les heures suivant le lancement. 

L’attaque de prêt flash de 34 millions de dollars de Harvest Finance

De l’autre côté de la sphère DeFi, les vulnérabilités de sécurité dans les protocoles DeFi restent une préoccupation après que Harvest Finance ait perdu 34 millions de dollars.

Harvest Finance est une plateforme de production agricole qui fournit des services de suivi APY, de développement de stratégies et de surveillance des coûts du gaz aux agriculteurs. Le protocole a perdu 34 millions de dollars à cause des attaques de prêt flash le 26 octobre et sa valeur totale est verrouillée plongé de plus de 60%.

Qu’est-ce qu’un prêt flash?

Un prêt flash est une innovation financière décentralisée initiée par le protocole de prêt DeFi Aave en janvier. Le produit permet aux utilisateurs d’emprunter des prêts sans fournir de garantie. Un prêt flash n’effectue aucune vérification de crédit sur les emprunteurs. 

Les prêts flash ont gagné en popularité parmi les arbitragistes, car ils peuvent suivre les étapes suivantes pour récolter rapidement des bénéfices:

  1. Emprunter des prêts.
  2. Utilisez des prêts pour acheter des jetons à un prix inférieur sur un DEX.
  3. Revendez les mêmes jetons à un prix plus élevé sur un autre DEX.
  4. Rembourser le prêt et les intérêts.
  5. Gardez le profit.

Les actions susmentionnées sont menées dans le cadre de la même transaction en chaîne. Pour effectuer ces transactions, l’arbitrageur doit coder à l’avance toutes les étapes du contrat intelligent. Si l’emprunteur ne peut pas rembourser le prêt à temps, aucune des transactions ne sera exécutée. (Ceci est conforme à la transactions atomiques sur Ethereum – si l’une des transactions enchaînées échoue, la chaîne est rompue et l’accord codé dans le contrat intelligent n’est pas respecté. Par conséquent, les transactions du contrat intelligent ne seront pas exécutées.)

Qu’est-il arrivé à Harvest Finance?

Alors que les prêts flash fournissent une nouvelle source de profit dans la sphère financière décentralisée, des acteurs malveillants tentent d’utiliser des fonds empruntés afin de manipuler le marché DeFi – appelées attaques de prêt flash..

Dans le cas de Harvest Finance, les pirates ont pris une série d’actions pour les profits d’arbitrage et manipulé le marché DeFi:

  1. Les pirates informatiques ont d’abord obtenu 50 millions USDC et 18,3 millions USDT de prêts flash d’Uniswap.
  2. Les pirates ont ensuite converti 17,222 millions USDT en USDC via Piscine en Y, un pool de liquidité dans Curve Finance. La conversion massive USDT-USDC a fait grimper le prix de l’USDC et le montant de l’USDC converti n’est plus que de 17,216 millions..
  3. Les pirates ont ensuite déposé 49,97 millions USDC dans le coffre-fort USDC de Harvest Finance et ont reçu 51,46 millions de fUSDC. Suite au dépôt, le prix de l’USDC par action a diminué de 1% (de 0,98 à 0,971). Le changement de valeur n’ayant pas dépassé le seuil de 3%, les transactions ont été exécutées et ne sont pas annulées.
  4. Les pirates ont converti tous les fUSDC en USDC avec un bénéfice de 619K USDC. Ensuite, ils ont répété la même transaction plusieurs fois pour récolter des bénéfices rapides.
  5. Les pirates ont transféré 13 millions USDC et 11 millions USDT à leurs adresses. Ensuite, ils ont transféré 1,76 million USDC et 718K USDT à l’équipe de Harvest Finance..

Selon l’équipe de Harvest Finance, les cours des actions du coffre-fort USDC et du coffre-fort USDT ont chuté respectivement de 13,8% et 13,7%, soit une perte totale de 34 millions de dollars. L’équipe a souligné que les attaquants exploitaient l’effet des pertes impermanentes dans le pool Y de Curve. Les attaquants ont ensuite déposé des fonds dans le coffre-fort de Harvest Finance à un prix avantageux et sont sortis du coffre-fort à un prix de l’action régulier pour capturer les bénéfices. Aux pertes des utilisateurs, l’équipe de Harvest Finance a distribué les fonds restitués aux victimes et a lancé une prime de 100 000 $ pour ceux qui pourraient aider à restituer les fonds..

Pendant ce temps, Uniswap a atteint un volume de transactions record de 2,19 milliards de dollars. Courbe aussi surpassé 2 milliards de dollars de volume d’échanges. Cela est probablement dû au fait que les pirates informatiques de Harvest Finance utilisent ces teneurs de marché automatisés pour transférer leurs fonds..

Le volume quotidien sur Uniswap a atteint un niveau record après le hack Harvest Finance. La source: Uniswap

Les attaques de prêt flash peuvent-elles être arrêtées??

L’équipe de Harvest Finance a identifié quelques solutions possibles pour empêcher les attaques de prêt flash. La première consiste à implémenter un mécanisme d’engagement et de révélation pour les dépôts. Ce mécanisme rendrait les attaques de prêt flash irréalisables en désactivant les dépôts et les retraits dans la même transaction. Pour les utilisateurs, cela signifie que les dépôts et les retraits sont enregistrés dans différentes transactions – et qu’ils paieraient des frais de gaz légèrement plus élevés pour cela. L’équipe prévoit également de fixer un seuil inférieur pour une vérification plus stricte de l’arbitrage des dépôts, ce qui augmente les coûts économiques pour lancer des attaques de prêt flash..

Pour améliorer la découverte des prix, certains protocoles DeFi peuvent utiliser des oracles de prix externes, tels que Chainlink ou Maker. Cependant, si le prix des actifs dans le protocole DeFi est différent de celui de l’oracle, le coffre-fort peut être exposé à des arbitrages et à des attaques de prêt flash. L’équipe de Harvest Finance pense que les oracles blockchain ne sont pas une solution pour eux en raison de la conception du système.

OKEx Insights présente des analyses de marché, des fonctionnalités approfondies, des recherches originales & actualités organisées par des professionnels de la cryptographie.

Promo
banner
Promo
banner