Un hacker est parvenu à voler l’équivalent de plus de 7 millions de dollars en profitant d’une faille de sécurité de la plateforme DAO Maker.
C’est une nouvelle attaque subie par l’écosystème de la finance décentralisée (DeFi).
Un pirate a profité aujourd’hui d’une faille de sécurité pour s’en prendre à DAO Maker, une plateforme de crowdfunding visant à faciliter le financement de startups.
Il est parvenu à dérober des USDCs , puis à les remplacer contre des ETH. Il a ainsi pu mettre la main sur 2 261 ETH, soit plus de 7 millions de dollars.
Breaking : The crowdfunding platform DAO Maker was attacked, and the USDC that users topped up was transferred out and replaced with about 2,261 Eth, worth more than 7 million U.S. dollars.
— Wu Blockchain (@WuBlockchain) August 12, 2021
Mais pourquoi avoir transféré des ETH contre des USDC ? Les stablecoins USDC peuvent être à tout moment gelés par Circle, la société émettrice. Il faut savoir que Tether jouit du même pouvoir : l’entreprise a d’ailleurs décidé cette semaine de geler 35 millions d’USDTs obtenus frauduleusement, peu de temps après le piratage du réseau Poly Network.
Entre 9 000 et 10 000 comptes USDC liés à DAO Maker seraient affectés par ce piratage.
Certains utilisateurs ont commencé ont commencé cette après-midi à se plaindre de la disparition de leurs dépôts, qui ont été dérobés par le pirate.
DAOMakerに入れてた900ドルがすっからかんになっててワロタwww
ワロタ……… https://t.co/PUT9DuB75B pic.twitter.com/tYJJ8pahoo
— ゆいちゅう@仮想通貨 (@cheko_bit) August 12, 2021
« Les 900$ que j’ai placés dans DAO Maker ont complètement disparu. »
« Nous voulons rassurer nos investisseurs et nos supporters »
Dans un communiqué publie ce jeudi après-midi, Christoph Zaknun, PDG de DAO Maker, évoque les étapes de ce piratage et tente de rassurer les investisseurs.
Il explique qu’à environ 13h, un pirate est parvenu à prendre le contrôle de l’un des portefeuilles de DAO Maker.
« Le cybercriminel, après avoir tenté de profiter de ce bug et être parvenu à dérober 10 000 USDC, a pu ensuite procéder à 15 transactions supplémentaires. De cette manière, il est arrivé à obtenir environ 7 millions de dollars », explique le dirigeant.
« Notre équipe de sécurité est parvenue à tracer, contenir et mettre un terme au drainage de fonds. Au total, 5 251 utilisateurs ont été affectés, pour une perte moyenne de 1 250 dollars par utilisateur. Les utilisateurs détenant moins de 900 dollars n’ont pas été affectés ».
Le PDG de DAO Maker précise ensuite que les développeurs ont décidé de transférer les fonds non affectés par ce piratage dans un nouveau portefeuille. Les utilisateurs concernés peuvent à tout moment retirer leur argent.
« Nous voulons rassurer nos investisseurs et nos supporters. Nos coffres-forts sont sécurisés et le piratage n’a pas eu d’impact sur notre activité. Personne, pas même nous, ne peut mettre à jour le code ou retirer une DAO de nos coffres-forts. En tant que PDG, j’estime qu’il s’est toujours agi de l’un des principes clés de DAO Maker », ajoute M. Zaknun.
Deux attaques en deux jours
La DeFi a énormément fait parler d’elles ces derniers mois. De nombreuses plateformes (Uniswap, Aave, PancakeSwap,…) sont parvenues à se faire une place parmi les crypto-projets les plus capitalisés.
Mais les failles de sécurité semblent constituer un problème récurrent dans cet écosystème naissant, alors que l’on a pu assister à deux piratages en l’espace de seulement deux jours.
Ce mardi, un hacker est parvenu à dérober l’équivalent de 610 millions de dollars de cryptomonnaies en exploitant un bug découvert sur la plateforme « cross-chain » Poly Network. Il a toutefois depuis décidé de rendre pour 258 millions de dollars d’actifs numériques. Même s’il a affirmé plusieurs fois qu’il comptait le faire, il est toujours difficile de savoir s’il va vraiment retourner les crypto-actifs restants.