Les crypto-défenseurs de la DeFi durement touchés par l'exploit Eminence seront partiellement indemnisés

Tout a commencé avec quelques retweets.

Le 28 septembre, Andrew Cronje, le grand patron de Yearn Finance, a retweeté des créations graphiques pour un nouveau projet appelé Eminence, ainsi décrit par Cronje comme protocole de Finance décentralisée (DeFi) pour un « multivers de jeu ». Le jeu est prétendumentun spin-off d'un jeu de cartes à collectionner Kickstarter de 2016 appelé Eminence : Xander's Tales et peut incorporer des jetons non fongibles (NFT).

Les retweets comprenaient des conceptions graphiques des mots « Spartan » et « Marine » (clins d'œil ludiques aux surnoms respectifs donnés aux bases de fans de Synthetix et de Chainlink ) et étaient un « teaser artistique » destiné à « présenter tous les différents clans du jeu », selon Cronje.

Cronje cliqua sur « Envoyer » et alla se coucher. À son réveil, il constata que le tweet était apparemment suffisant pour inciter les utilisateurs de la DeFi à investir 15 millions de dollars en DAI dans le protocole ancien, qui, bien que sur le réseau principal d'Ethereum, était encore en phase de test alpha par Cronje et son équipe. Eminence ne disposait même T d'un site web pour le trading ; les premiers utilisateurs échangeaient des jetons. directement avec les contrats intelligents Eminence.

La même nuit, un utilisateur a exploité le code d'Eminence et a volé les 15 millions de dollars. Le même attaquant a ensuite restitué environ 8 millions de dollars. DAIà un contrat intelligent Yearn contrôlé par Cronje.

Aujourd'hui, moins de 72 heures après l'exploit, les utilisateurs concernés ont récupéré une partie de leurs pertes.

La débâcle et le sauvetage qui a suivi ne sont pas une première dans le secteur de la DeFi. Cela soulève la question suivante : la communauté DeFi Guides -elle de ses erreurs ?

Explication du « hack » d'Eminence

L’exploit lui-même, qui n’était même pas un piratage, était assez simple.

Les jetons EMN,généré par Yearn Deploy Les contrats intelligents ont été initialement distribués via une courbe de liaison, un nouveau système de distribution de jetons utilisé par quelques produits DeFi. Ces courbes de liaison sont des contrats intelligents qui « échangent » des jetons avec les utilisateurs finaux, en échangeant un jeton contre un autre.

Pour Eminence, les utilisateurs déposeraient des DAI dans le contrat intelligent et recevraient des EMN en retour. Si les EMN sont envoyés au contrat intelligent, ils sont détruits et l'utilisateur reçoit des DAI en retour.

Vous pouvez également échanger des EMN contre cinq autres jetons (eAAVE, eLINK, eYFI, eSNX et eCRV, toutes des versions Eminence de ces jetons populaires portant les mêmes tickers). Cela entraînerait la destruction des EMN déposés. Inversement, si vous déposez ces jetons dans leurs contrats Bonding Curve respectifs, ils sont détruits et vous recevez des EMN nouvellement émis.

Pour exploiter ces contrats, l'attaquant a contracté un prêt flash de 15 millions de DAI auprès Uniswap et l'a utilisé pour acheter des EMN. Il a ensuite échangé et brûlé la moitié de ces EMN contre des eAAVE, faisant grimper le prix des EMN. Il a ensuite échangé le reste de ses EMN contre des DAI, puis ses eAAVE pour produire davantage d'EMN, avant de finalement échanger ces EMN contre des DAI.

Au moment où l’attaquant effectuait ces mouvements, quelqu’un avait déjà déployé l’EMNpaires de trading sur Uniswap.

Ce processus était répété trois fois pour rapporter au pirate 15 015 533 DAI. Une attaque similaire utilisant un prêt flasha été exécuté contre le protocole bZx en février.

Réponse de Yearn Finance et redistribution des jetons

Étonnamment, après tous ces efforts, l'attaquant a légèrement changé d'avis : il a transféré 8 millions de dollars en DAI vers un contrat Yearn Finance , que Cronje a rapidement envoyé à un multi-sig Yearn.

Une poignée de développeurs, dont ONEun travaille sur Yearn, a concocté un moyen de distribuer le DAI aux utilisateurs affectés par la chute du prix de l'EMN suite à l'exploitation. Les réparations libellées en DAI sont désormais distribuées aux utilisateurs qui négocient de l'EMN à partir du contrat Bonding Curve et Uniswap.

« Recevoir [les jetons DAI ] nous a donné l'impression de recevoir une bombe à retardement », a déclaré banteg, développeur CORE de Yearn, à CoinDesk. Il a ajouté que l'équipe avait rapidement distribué les fonds, de peur que les utilisateurs concernés ne s'impatientent.

Banteg estime que la plupart des utilisateurs concernés étaient informés, puisque la moitié de la restitution a été réclamée dans les 19 minutes suivant le lancement du contrat de distribution. Selon les données partagées par Banteg avec CoinDesk , seuls 338 000 $ de DAI restent à réclamer.

Au-delà du mauvais comportement de l’agresseur, le fiasco a été exacerbé par deux forces motrices : la confiance et la cupidité.

Dans ses tweets, Cronje n'a jamais affirmé que le protocole Eminence était prêt. Il n'a même T précisé à quoi servait ce protocole. Mais un seul retweet du créateur de Yearn – cette licorne de la DeFi dont le prix a grimpé de 31 $ à plus de 43 000 $ cette année – a suffi à inciter les traders à investir massivement dans le jeton Eminence.

Aspirant à un nouveau coup de maître, les intrépides utilisateurs d'Eminence ont commencé à interagir avec le protocole avant même que Cronje n'indique qu'il était prêt pour les investisseurs. Avant cet incident, il avait même tweeté des mises en garde invitant quiconque utilisant ses protocoles à faire preuve de prudence.

Cronje a depuis annoncé sur Twitter son intention de poursuivre ses travaux sur Eminence, ajoutant qu'il disposait d'une centaine de contrats à tester. Il a également conseillé aux adeptes de la DeFi d'attendre les annonces officielles avant de les utiliser.

Pourtant, certains des traders touchés, sous le choc de leurs pertes, T prêts à laisser Cronje s'en tirer.

« Pourquoi mettre du code inachevé sur le réseau principal pour le tester ? » Un utilisateur est intervenu« Le contrat aurait dû être sur le réseau de test. »

D’autres, comme Tom Shaughnessy de Delphi Digital,défenduCronje, affirmant que « ce n’est pas [sa] faute si les gens s’intéressent à [son] travail avant qu’il ne soit terminé ».

Les leçons de la DeFi sont-elles durement apprises ou à peine apprises ?

En effet, les soi-disant dégénérés de la DeFiont la réputation de « s'inspirer » des contrats intelligents à la recherche de gains avant même qu'ils ne soient minutieusement examinés.déposé plusieurs centaines de millions valeur de jetons dans le protocole d'agriculture de rendement Yam Finance en août, par exemple, jours avant un bugdans son code non audité, a fait chuter le prix du jeton.

Plus récemment, les traders ont déposé tellement de jetons dans le contrat Sushiswap, alors non audité, que son volume a dépassé Uniswap. Quelques jours plus tard, Le créateur de SushiSwap a abandonné sa part de développeur de SUSHIjetons pour 13 millions de dollars enETH,uniquement pour retourner la somme en ETH au trésor de Sushiswap après un accès de culpabilité.

Avec l'exploitation d'Eminence et la restitution sommaire désormais connues, les traders DeFi ont une raison supplémentaire de se méfier des protocoles non vérifiés. Mais le retour sur investissement ayant quelque peu atténué leurs pertes, cette leçon pourrait bien être oubliée lors de la prochaine « grande nouveauté ».