L'attaque sur Avalanche
La plateforme de staking DeFi basée sur Avalanche, Nereus Finance, a subi une attaque d'arbitrage de flash loan. La bourse décentralisée (DEX) Trader Joe et la plateforme DeFi Curve Finance auraient également été touchées par l'événement qui a été exécuté vers 15h26 ET le mardi 6 septembre selon la firme dans un tweet. Cette attaque de flash loan sur la blockchain Avalanche a extrait 370 000 dollars en USDC d'un contrat intelligent, ainsi que plusieurs fournisseurs de liquidités, selon la société de cybersécurité de blockchain CertiK.
Les attaques de type "flash loan" sont une forme d'exploitation qui abuse de la sécurité d'un contrat intelligent. Les criminels empruntent une énorme somme de fonds non garantis à une plateforme de prêt et manipulent le prix d'un actif cryptographique emprunté.
D’autres attaques existent comme le hack du compte Twitter de PwC Venezuela afin de promouvoir un faux giveaway de XRP.
Cette action fait grimper la valeur de l'actif, et l'emprunteur le vend immédiatement et paie la différence de prix. Les attaques de type "flash loan" peuvent se produire en quelques secondes et impliquent quatre protocoles DeFi ou plus.
Malgré cela, Avalanche et Nereus n'ont pas encore publié de déclaration officielle concernant cet exploit.
Le Dr Martin Hiesboeck, directeur de la recherche d'Uphold, a cité des données sur la chaîne provenant de Snowtrace qui ont révélé que le cyberattaquant a lancé l'exploit avec un flash loan de 51 millions de dollars.
Ces fonds sont ensuite utilisés pour exécuter une attaque par flash loan qui a manipulé le prix des jetons sur la plateforme de staking.
L'entité à l'origine de l'attaque a remboursé le prêt de 51 millions de dollars, elle disposait encore de 370 000 dollars en USDC stablecoin après la réalisation de l'arbitrage.
Elle aurait ensuite transféré les fonds illégalement acquis de la blockchain Avalanche vers le réseau Ethereum, après que les fonds pontés aient été échangés contre 194 ETH et 15 800 DAI à cette adresse.
Dans un rapport publié récemment, Skynet, le logiciel de sécurité sur la chaîne de CertiK, a révélé que plus de 2,33 milliards de dollars avaient été perdus à cause de diverses escroqueries et exploits dans l'espace Web 3, et qu'un total de près de 377 attaques avaient été enregistrées jusqu'à cette année.
Le mois d'août a enregistré à lui seul 44 attaques de ce type, dont 33 des escroqueries de sortie et sept des attaques de flash loan.
En savoir plus sur les attaques flash loan
L'identité du cyberattaquant, comme dans la majorité des cas impliquant des exploitations de flash loan, reste inconnue.
Avalanche, une plateforme de contrats intelligents de niveau 1 construite par Ava Labs, basé à Singapour, a pris de l'importance ces dernières années, devenant l'une des 20 premières crypto en termes de capitalisation boursière.
Ava labs est d’ailleurs au cœur d’une autre polémique, selon les affirmations de CryptoLeaks.
Compatible avec Ethereum, le réseau Avalanche se compose d'un écosystème d'applications décentralisées ainsi que d'initiatives de staking via son mécanisme de consensus Proof-of-Stake. Les flash loans ont déjà été impliqués dans plusieurs vols de cryptomonnaies très médiatisés, y compris le troisième plus important de 2022, lorsque la DApp DeFi Beanstalk a perdu 182 millions de dollars.
Les exploits liés aux flash loan continuent d'être un point sensible pour les protocoles DeFi. Le Federal Bureau of Investigation des États-Unis a déclaré en août que les exploits liés aux flash loan et à la manipulation des prix font partie des facteurs de risque pour les utilisateurs de DeFi.