Le protocole chinois de finance décentralisée (DeFi) dForce a été victime d'un exploit connu du jeton Ethereum qui a entraîné le vol de 25 millions d'euros de crypto-monnaie à ses clients. Comme l'a rapporté Decrypt, DForce a récemment annoncé avoir levé 1.5 million d'euros lors d'un cycle de financement de démarrage mené par le fonds de capital-risque de crypto-monnaie Multicoin Capital. Cependant, ces fonds ont été obtenus grâce aux contrats d'un protocole de prêt faisant partie de dForce appelé Lendf.Me. Lendf.Me est désormais hors ligne et tous ses contrats intelligents ont été suspendus. Cependant, les pirates ont restitué 126,014 XNUMX € des fonds volés à la plateforme de prêt avec une note indiquant « Plus de chance la prochaine fois ».
Vulnérabilité du jeton ERC777
Une attaque similaire a récemment été lancée contre l'échange décentralisé Uniswap pour voler plus de 300,000 77 €. Les contrats d'échange intelligents contenant une version symbolique basée sur Ethereum de Bitcoin gérée par TokenIon appelée imBTC sont épuisés. Le lien entre les deux attaques est lié au fait que Lendf.ME a rejoint imBTC plus tôt cette année. L'attaque Uniswap a exploité une vulnérabilité connue dans la norme de jeton ERC77. En raison de la manière dont les contrats intelligents Uniswap sont configurés, un pirate informatique pourrait continuellement retirer les fonds ERC16 d'Uniswap avant que le solde ne soit mis à jour, ce qui pourrait lui permettre d'annuler les contrats imBTC. Bien que le hack dForce soit complètement distinct du hack Uniswap, on pense que le même exploit a été utilisé dans les deux attaques. La vulnérabilité n'est pas nouvelle et le cabinet ConsenSys a mené un audit approfondi d'Uniswap il y a XNUMX mois, concluant qu'il s'agissait d'un problème « majeur ». Pour aggraver les choses, Robert Leshner, PDG de Compound, affirme que Lendf.Me a détourné son code open source. Dans un tweet, Leshner a appelé la sécurité de Lendf.Me, déclarant : « Si un projet n'a pas l'expertise nécessaire pour développer ses propres contrats intelligents, et qu'à la place il vole et redéploye du code protégé par la loi sur le droit d'auteur d'un autre, c'est un signe qu'il ne le fait pas. avoir la capacité ou l'intention d'envisager la sécurité. Pour l'instant, dForce n'a pas discuté du piratage sur ses réseaux sociaux et il semble que le reste des fonds volés ne sera pas restitué de si tôt.