Top 6 des chocs Exploit les plus marquants du premier semestre 2021

Résumé des 6 exploits (hacks) les plus notables du premier semestre 2021 et liste des dommages totaux et des solutions du projet.

Bonjour gars.

Aujourd'hui, je voudrais partager avec vous un article résumant les exploits (hacks) les plus populaires du premier semestre 2021. Dans le même temps, répertoriant les projets qui ont été piratés par des hackers, les dommages totaux de l'incident et leur solution. Pour plus de détails, veuillez consulter l'article suivant.

Présentation d'Exploit 

Exploit est un terme utilisé pour parler d'une attaque d'une personne ou d'un groupe de personnes (de manière anonyme) qui entre intentionnellement dans un bogue ou une faille de sécurité pour l'exploiter et en tirer profit. Ce terme s'applique à la fois au crypto et au non-crypto.

Les attaques se produisent généralement dans les systèmes d'exploitation réseau, les Dapps ou tout autre code logiciel. Dans certains cas, de nombreux pirates volent des données dans le système telles que les informations des utilisateurs, les actifs des fonds, ... ou déposent des virus dans le logiciel pour détruire les nœuds associés.

Classification commune des exploits

L'exploit est bien connu dans l'industrie électronique, et il existe également de nombreux types d'exploit différents, pour que vous compreniez mieux, je vais classer comme suit :

• Remote Exploit : Le processus d'exploitation à distance des bogues du système de sécurité principal sur un autre ordinateur/réseau.
• Local Exploit : Une forme d'exploitation des bogues dans le système de sécurité directement sur le système principal et la mise à niveau progressive de ses autorisations, le craquage des mots de passe, l'exploitation des données d'autres personnes,...
• Il existe un autre type d'exploit qui infiltrera l'accès de l'administrateur (Administrative Level Access / root) et accomplira des actes de gain personnel à partir de là.

Exploiter en crypto

Dans Crypto, Exploit est connu pour ses attaques sur les vulnérabilités des contrats intelligents ou les failles de sécurité couramment découvertes telles que le site Web, les Dapps, l'IoT, l'API, l'UI-UX,...

Souvent, un logiciel qui vient d'être programmé peut avoir des erreurs lors de son exécution, ces failles de sécurité apparaissent souvent dans les configurations, les applications (Dapps), le code d'emballage et le système d'exploitation.

Les vulnérabilités techniques sont souvent remarquées par les pirates

Les attaques de pirates sont souvent difficiles à détecter jusqu'à ce que les conséquences se produisent, donc les projets de blockchain lors du lancement d'un nouveau produit organiseront souvent des événements Testnets, Devnets et Bug Bounty (obtenir des primes) pour la communauté.

Bug bounty est un programme de sécurité souvent appliqué par les projets à leurs Dapps, en partie pour sonder l'expérience utilisateur, l'autre partie est de détecter les failles de sécurité (bugs) dans leurs produits. 

Au lieu d'être attaqué par des pirates et de perdre des milliers de millions de dollars, ainsi que de nombreux autres problèmes juridiques, Bug Bounty limitera quelque peu les risques qui pourraient survenir à l'avenir. 

6 cas d'exploitation en suspens en 2021

Réseau poly

Poly Network est un réseau déployé pour une interaction multi-chaînes, créant l'infrastructure Internet de nouvelle génération. Les chaînes de blocs peuvent se connecter à Poly Network via un réseau ouvert et un mécanisme d'admission transparente (transparence) dans l'accès aux informations, la confiance et la cohérence. 

En outre, Poly Network connecte également de nombreuses autres blockchains et a intégré de nombreuses plateformes telles que Bitcoin, Ethereum, Neo, Ontology, Elrond, Ziliqua, Binance Smart Chain, Switcheo et Huobi ECO Chain. Jusqu'à présent, Poly Network n'avait pas de jeton dans son mécanisme de gouvernance.

La raison pour laquelle Poly Network figure dans ce top 6 est que récemment, le 10 août, Twitter de Poly Network a confirmé avoir subi une attaque inter-chaînes, et l'incident aurait coûté 611 millions de dollars. Plus précisément, les dommages comprennent :

• 273 millions de dollars sur Ethereum.
• 253 millions de dollars sur BSC.
• 85 millions de dollars sur Polygon.

En outre, O3 Swap - la plate-forme construite sur Poly Network est également partiellement affectée, il n'y a toujours pas de données exactes pour ce cas.

Bien que Poly Network soit audité par Certik , il est inévitable que des cas inattendus comme ceux ci-dessus se produisent. Le projet étudie actuellement l'affaire, des informations spécifiques seront mises à jour dès qu'il y aura une nouvelle annonce de Poly Network.

Laboratoire Alpha Finance

Alpha Finance Lab est une plateforme DeFi Cross-chain construite sur l'écosystème Binance Smart Chain, y compris les produits et services de prêt et d'emprunt, prenant en charge les utilisateurs sur de nombreuses blockchains différentes. 

ALPHA est le jeton natif représentatif du projet, servant la gouvernance dans le système, soutenant l'extraction de liquidités dans les prêts ou les emprunts, vous pouvez également jalonner ALPHA pour faire des bénéfices. 

La raison pour laquelle Alpha Finance figure dans le top 6 des cas d'exploitation est que le total des dommages après l'attaque est assez important, jusqu'à 37,5 millions USD.

Résumé des événements

Le matin du 13 février 2021, un pirate informatique a attaqué le protocole Alpha Homora V2 et les transactions de prêt ont ensuite été interrompues pour enquête. Cette attaque est dite assez compliquée car le pirate a effectué de nombreuses démarches avant de priver le montant ci-dessus, notamment :

• Hacker a créé une adresse virtuelle, échangé ETH contre UNI et ajouté LP pour la paire ETH + UNI dans Uniswap (pour obtenir des jetons LP). Dans la même transaction, il a échangé ETH contre sUSD et déposé sUSD dans Cream Iron Bank.
• Dans Alpha Homora V2, les pirates ont emprunté sUSD & Aave pour augmenter les avoirs en cySUSD. À partir de là, le pirate a emprunté 13 244 ETH supplémentaires ; 4 263 139 $ DAI ; 3 997 921 USDC et 5 647 242 USDT.
• Ensuite, déposez-en sur Aave, 1 000 ETH sur Iron Bank et Alpha Homora V2, 320 ETH sur Tornado.cash.
• Sur le portefeuille personnel du pirate après la transaction, il restait 10 925 ETH (équivalent à 20 millions de dollars).

Les vulnérabilités de l'incident ont été étudiées et recherchées par Alpha Finance Lab, Andre Cronje et Cream Finance, y compris 9 transactions, 4 opérations différentes dans ce hack. On peut voir que le marché DeFi est encore assez nouveau et qu'il existe de nombreux risques potentiels. 

Conséquence

En plus du résultat d'être piraté, perdant 37,5 millions de dollars, Alpha Finance Lab a également fait face à une forte baisse du prix du jeton ALPHA après l'annonce du projet, au moment de l'annonce, il était de près de 22% et le total en février a diminué de 39,22 %.

Capitale Rari 

Rari Capital (RGT) est connu comme un protocole d'agriculture de rendement automatisé sur la plate-forme de blockchain Ethereum, aidant à attirer des liquidités dans DeFi Space telles que Compound, dYdX, yEarn,... De plus, l'objectif de Rari Capital est de créer un environnement agricole efficace pour les utilisateurs.

Depuis son lancement jusqu'à présent, RGT a connu une énorme croissance des prix de 0,2 $ (5 novembre 2020) - 27,37 $ ATH (15 avril 2021), on peut voir que la plateforme Rari Capital se développe constamment et c'est aussi un "délicieux appât" pour les pirates.

Résumé des événements

Le 8 mai, Rari Capital a dû signaler qu'un pirate informatique avait fait irruption dans le système et drainé 2 600 ETH, une perte de 60 % (estimée à 10 000 000 $) du total des fonds des utilisateurs à ce moment-là. Je résume brièvement l'incident comme suit :

• Les pirates ont créé de faux jetons et les ont regroupés sur SushiSwap.
• Ensuite, ils ont profité de la vulnérabilité des fonctionnalités d'Alpha Finance et ont accédé à Alpaca Homora pour recevoir ibETH du contrat de pool Rari ETH.
• Enfin, le pirate a converti ibETH en ETH dans le pool Rari ETH.

Conséquence

Source de l'image : Rekt Capital

Le prix RGT a chuté de plus de 40% après l'attaque. Il convient de mentionner que bien que le jeton ait été audité par Quantstamp , cette vulnérabilité a été ignorée et a causé une lourde perte à Rari Capital. Comme je le sais, Rari a dû déduire 2 millions de RGT pour compenser les utilisateurs plus tard.

Crêpes Lapin Finances

Si vous aimez l'agriculture, Pancake Bunny (BUNNY) n'est sûrement pas un nom étrange, il s'agit d'un agrégateur de bénéfices et d'un outil d'optimisation agricole sur Binance Smart Chain. Semblable à Yearn Finance sur Ethereum, Pancake Bunny Finance utilise Pancake comme plate-forme principale de Yield Farming. 

Permet aux utilisateurs d'acheter CAKE et d'ajouter au pool pour obtenir des intérêts composés de l'agriculture. Sur Pancake, il existe également un pont entre ETH-BSC pour augmenter le nombre d'utilisateurs de la plateforme. BUNNY est un jeton natif représentant le projet, utilisé dans l'administration et comme frais sur PancakeSwap.

Résumé des événements

Plus précisément, le 20 mai, Pancake a dû signaler un prêt éclair d'attaque d'exploiteur - une forme de prêt sans garantie. Profitant de la faille de cette fonctionnalité sur l'application, les pirates ont pénétré et attaqué par les éléments suivants :

• Ils utilisent PancakeSwap pour emprunter de grandes quantités de BNB aux pools WBNB, y compris huit prêts flash différents (selon la banque Fortube).
• Les pirates ont déposé 2,96 millions USDT et 7 886 WBNB dans le pool et ont frappé 144,45 mille jetons LP.
• Avec une grande quantité de jetons LP en main, ils ont réclamé 6,97 millions de récompenses BUNNY de Vault Flip To Flip et ont mis sur le marché une forte décharge.
• Ayant vendu avec succès tous les BUNNY piratés, ils sont revenus pour rembourser les BNB empruntés au prêt flash précédent.

Conséquence

Source de l'image : Rekt Capital

L'incident a fait chuter soudainement le prix de BUNNY à 6 dollars et à cette époque, la TVL de Pancake Bunny n'était que de 1 milliard de dollars (divisé par 10 par rapport à la période de pointe).

Le total des dommages est estimé à 2,4 millions de dollars, même un audit de Haechi n'a pas pu protéger Pancake Bunny de cette attaque, 

THORChaîne 

THORChain (RUNE) est connu sous le nom de projet Blockchain Protocol, construisant un protocole de pontage indépendant de la chaîne, permettant la connexion et l'échange de valeur entre différentes multi-chaînes. THORChain fournit également une liquidité de couche 1, un échange instantané d'actifs et un règlement des fluctuations de prix dans Crypto. 

RUNE est un jeton natif de la plate-forme THORChain dans le but de faire des frais de transaction, de jalonner/voter et de servir de récompenses pour les validateurs.

THORChain est également le nom dans le top 6 des exploits les plus récents, en seulement un mois, THORChain a fait face à 2 attaques de pirates avec une perte totale de près de 13 millions de dollars.

Résumé des événements :

• Plus tôt le 15 juillet, THORChain a été piraté pour voler 2 500 ETH (estimés à 5 millions USD), cette attaque dans le protocole Bifrost .
• Et vers la fin du mois de juillet, ils ont encore perdu 8 millions de dollars par des "white hat hackers" en raison d'une erreur liée au jeton ERC-777 (contrat ETH Router).
• Hacker a créé un faux routeur et a effectué ses actions sur Thorchain Router.

Conséquence

Le prix de RUNE a baissé de 25 %. Bien qu'il ait été audité par la prestigieuse équipe Certik, mais après les erreurs et la fréquence des occurrences massives, la communauté s'est inquiétée et a commencé à montrer des signes de fuite. Vous pouvez voir le modèle de chandelier de juillet comme indiqué ci-dessous :

Financement de la glace

Permettez-moi de définir brièvement, Popsicle Finance est une plate-forme d'agrégation de bénéfices multi-chaînes, aidant à fournir des liquidités sur de nombreuses plates-formes différentes. Le projet a été construit et développé dans le but d'aider les utilisateurs à fournir des liquidités rapides, à économiser sur les frais d'essence, à prendre en charge de nombreux AMM tels que Uniswap, SushiSwap, Pancakeswap,... 

Outre ICE est le jeton représentatif du projet, actuellement l'équipe n'a pas mis à jour la fonctionnalité de ce jeton, très probablement à l'avenir ICE sera utilisé pour le vote, en tant que principal frais de conversion sur la plate-forme Popsicle.

Parce qu'il s'agit d'un nouveau projet, bien qu'il soit audité par Peckshield, Popsicle Finance ne peut échapper aux problèmes de trous techniques dans son système. Depuis le début de l'année jusqu'à maintenant, Peckshield a eu 7 exploits, tirages de tapis, etc., ce qui est un nombre inquiétant pour l'équipe Peckshield. 

Résumé des événements

• Cet incident vient de se produire le 4 août, plus précisément, le pirate a créé 3 contrats A, B, C & répétés dans l'ordre : Transfert (A) ⇒ (B) & Collect Fees ⇒ (C) Transfer ⇒ (A) & Collect Fees ( répéter pour 8 de ces piscines).
• Pour le dire plus simplement, ils déposent de l'argent dans le contrat A, puis transfèrent les jetons LP à B, en s'appuyant sur le mécanisme de collecte des frais de Sorbetto pour extraire le montant de cette transaction. Ensuite, passez de B à C et ainsi de suite pour les 8 piscines.
• On peut voir qu'il s'agit d'une répétition planifiée, ils prêtent 30 millions USDT, 13 000 WETH, 1 400 BTC, 30 millions DAI et 200 000 UNI à Aave pour attaquer les 8 pools ci-dessus.
• En fait, la faille dans Popsicle est assez simple par rapport aux événements des projets ci-dessus. La principale cause de ce piratage est que les frais ne sont pas correctement calculés lors du transfert des jetons LP.

Conséquence 

Popsicle Finance a subi une perte pouvant atteindre 25 millions de dollars ainsi qu'une baisse du prix des jetons ICE suite à l'annonce du crash. 

Conclusion 

Depuis le début de l'année, il y a eu 42 cas d'Exploit, Rug-pull survenus sur le marché Crypto. C'est également un facteur important sur les mouvements de prix récents dans certains projets. DeFi Spaces est une bonne proie pour les pirates informatiques, surtout lorsque le marché est en constante évolution comme aujourd'hui.

Y aura-t-il une solution à l'avenir, l'audit sera-t-il plus serré et plus automatisé ? Suivez immédiatement la chaîne Coin98 Insights News pour obtenir les mises à jour les plus rapides sur toutes les nouvelles et les événements exceptionnels du marché de la cryptographie !