10,8 millions de dollars volés, développeurs impliqués dans un prétendu « rug pull » de contrats intelligents

Un autre projet de Finance décentralisée (DeFi) a été retiré mardi, avec environ 10,8 millions de dollars de fonds d'investisseurs volés en raison d'une porte dérobée cachée dans les contrats intelligents du projet.

Finance composé – un autoproclamé clone de Harvest et Yearn Finance construit par des programmeurs pseudonymes – a vu ses contrats vidés de 750 000 $ de Wrapped Bitcoin (WBTC), 4,8 millions de dollars éther5 millions de dollarsDAIet un petit assortiment d'autres jetons, selon unadresseassocié à l'exploit.

Et bien que l'attaque LOOKS à d'autres rug-pulls ou exploits DeFi, effectués à maintes reprises en 2020, cet acte de vol est différent en raison de l'escroquerie apparente à laquelle se livraient les développeurs de Compounder, selon Robert Leshner, fondateur du protocole de prêt Compound Finance.

Sur le même sujet : Les exploits de la DeFi ne peuvent T être imputés aux prêts flash, affirment les leaders du secteur

Lors d'un entretien téléphonique, Leshner a expliqué à CoinDesk que Compounder ressemblait à n'importe quel autre projet DeFi de yield farming ayant conquis le secteur des Cryptomonnaie l'été dernier. Mais les développeurs avaient introduit une fonction d'appel leur permettant de retirer tous les fonds du projet – une action qu'un projet de Finance décentralisée ne devrait jamais autoriser – dès qu'ils estimaient que le butin était suffisamment important.

tirage de tapis

Ce seuil a apparemment été atteint mardi, même si les contrats de jetons de Compounder n'ont été créés que le 10 novembre, selonEtherscan.

Leshner a qualifié ce « rug-pull » de « ONEune des plus importantes » exploitations délibérées de Cryptomonnaie de mémoire récente ; une exploitation radicalement différente des autres exploitations DeFi en raison de sa lenteur à se terminer. Il allègue également que Compounder a « usurpé le nom de Compound Finance » afin d'attirer davantage de victimes.

Un groupe d'investisseurs de Telegram enquête actuellement sur des poursuites judiciaires contre les développeurs, bien que peu d'informations soient connues sur les personnes derrière Compounder. Un investisseur qui réclamationsavoir perdu 1 million de dollars de fonds offre une prime de 50 000 dollars pour toute information menant à la saisie des fonds volés.

Le jeton natif de Compounder, CP3R, a chuté de 98,8 % au cours des dernières 24 heures et s'échange désormais à 0,24 $, selonCoinGecko.

Les audits de contrats intelligents ne suffisent pas

Compounder a été audité par Solidity Finance. Les audits sont généralement perçus comme un acte de bonne foi dans le Far West de la DeFi. Solidity Finance a déclaré à CoinDesk avoir découvert le contrat à durée déterminée en question dès la mi-novembre et l'avoir signalé aux développeurs du projet. L'entreprise a proposé documentation aussi.

Malheureusement, Compounder non seulement connaissait cette fonction, mais avait apparemment des projets à ce sujet.

« L'équipe Compounder a remplacé les contrats de stratégie sécurisés et vérifiés par des contrats malveillants de type « Stratégie Maléfique » qui lui ont permis de voler les fonds des utilisateurs », a déclaré Solidity Finance à CoinDesk dans un message Telegram, ajoutant :

Ils ont procédé ainsi grâce à un verrouillage temporel public, bien que manifestement non surveillé, de 24 heures. Ce problème de contrôle centralisé par l'équipe C3PR a été soulevé dans notre rapport d'audit et lors de nos échanges avec leur équipe. L'équipe avait le pouvoir de mettre à jour les pools de stratégies et elle l'a fait ici de manière malveillante pour voler les fonds des utilisateurs. Autrement dit, les investisseurs ont ignoré la faille de sécurité, même si le verrouillage temporel en question avait été signalé par l'audit.

De nombreux investisseurs DeFi se rendent compte que les audits ne garantissent T forcément un protocole sécurisé. Akropolis Finance en est un autre exemple récent. Il a été piraté plus tôt le mois dernier pour 2 millions de dollars de DAI, même si ses contrats avaient été audités par deux cabinets.

En effet, les audits se déclinent sous différentes formes. Solidity Finance a indiqué à CoinDesk qu'elle recherchait principalement des « attaquants externes ». L'entreprise prévoit de fournir davantage d'informations sur les éventuels « risques liés au contrôle des développeurs » à l'avenir.

Correction (3 décembre 2020 19:40 UTC)): Une version précédente de cet article indiquait que la fonction de verrouillage temporel n'avait été divulguée qu'à l'équipe de Compounder Finance. Le rapport d'audit public incluait cette information.