Harvest Finance: une attaque de 24 millions de dollars déclenche une « ruée bancaire » de 570 millions de dollars dans le dernier exploit DeFi

Un arbitrage exploitant les points faibles du protocole de Finance décentralisée (DeFi) Harvest Financea conduit au détournement d'environ 24 millions de dollars en stablecoins des pools du projet lundi, selonCoinGecko.

Selon rapports, un attaquant a utilisé unprêt flash – une technique permettant à un trader d'utiliser un effet de levier massif sans aucun inconvénient – ​​pour manipuler les prix de la DeFi à des fins lucratives. L'exploit a envoyé le jeton natif de la plateforme, FARM, chute de 65 %en moins d'une heure, suivi de la valeur totale verrouillée du projet (TVL), qui est passée de plus d'un milliard de dollars avant l'exploit à 430 millions de dollars au moment de la mise sous presse.

Les fonds ont finalement été échangés contreBitcoin (BTC), mais pas avant d'avoir été balayé par le service de mixage Ethereum Tornade Cash.

Sur le même sujet : Le jeton Harvest Finance chute de 65 % après une attaque qui a sapé le site DeFi de TVL

Le mélange des cryptomonnaies n'a T KEEP l'équipe de Harvest Finance dans l'ignorance bien longtemps. L'auteur de l'exploit « est bien connu dans la communauté Crypto » après avoir laissé « une quantité importante d'informations personnelles identifiables », selon le Discord du projet. Les sept portefeuilles Bitcoin contenant les fonds de l'attaquant sont également connus.

Les développeurs anonymes derrière le projet ne veulent pas divulguer l'identité du parti mais offrent plutôt une prime de 100 000 $ pour convaincre l'attaquant de renvoyer les fonds.

« Pour l'attaquant : vous avez prouvé votre point de vue, si vous pouvez restituer les fonds aux utilisateurs, cela serait grandement apprécié par la communauté, y compris de nombreux passants », a déclaré l'équipe via Discord.

Les prêts flash frappent à nouveau

L'exploit lui-même a été exécuté par une série d'opérations d'arbitrage entre les protocoles DeFi Uniswap, Curve Finance et Harvest Finance, selon EtherscanL'attaquant a commencé par voler un billet de 50 millions de dollars.USDC Prêt flash d' Uniswap. Ils ont ensuite commencé à échanger entre USDC et Tether (USDT) pour provoquer une forte oscillation des prix des deux jetons.

Le cours de USDT a commencé à chuter sur Harvest Finance , l'attaquant ayant FORTH des jetons. Il a ensuite échangé des USDT à prix réduit contre des stablecoins obtenus lors du prêt flash. L'attaquant a répété l'opération à plusieurs reprises. Chaque échange réussi a ensuite été converti en éther (ETH) puis le Bitcoin tokenisé (WBTC et renBTC, dans cet ordre) et enfin le BTC, selon Zérion.

Sur le même sujet : Les volumes de transactions quotidiens Uniswap et de Curve dépassent les 2 milliards de dollars, probablement en raison de l'attaque Harvest.

Il est intéressant de noter qu'environ 2,5 millions de dollars ont été reversés au contrat Harvest Finance . L'équipe de développement a indiqué que les fonds seraient distribués au prorata aux utilisateurs concernés. Le cours du jeton a légèrement rebondi, perdant 49 % en 24 heures pour atteindre 126,82 $, selon les données. CoinGecko.

L'exploit rejoint un groupe d'opérations d'arbitrage similaires basées sur des prêts flash, menées contre des applications DeFi en 2020. Par exemple, la plateforme de prêt bZx était lapremier à être touché par un exploit de prêt flashen février 2020.