Le protocole de finance décentralisée (DeFi) Zabu Finance a été piraté dimanche. Avec l’équivalent de 3,2 millions de dollars dérobés, il s’agit du premier hack majeur d’un acteur de l’écosystème Avalanche.
Dans un tweet publié dans la nuit de dimanche à lundi, le compte dédié à l’actualité de la finance décentralisée Defiprime révèle que la plateforme Zabu Finance s’est faite subtiliser 3,2 millions de dollars d’actifs numériques. Il s’agirait de la première attaque majeure enregistrée par un protocole adossé à Avalanche.
⚠️ @zabufinance $ZABU exploited ⚠️
Probably it is the first big exploit on #avalanche ?
About $3.2M stolen :$WETH : 402.9$WAVAX : 23,157$PNG : 21,501$AVE : 106,848$USDT:361,267$JOE:23,958.93
— defiprime (@defiprime) September 12, 2021
Les équipes de Zabu Finance ont ensuite publié leur propre tweet. Elles y confirment le piratage, en expliquant que les fonds ont été dérobés à la « pool » du token SPORE :
We’ve been exploited today. What happened ?
Everything was from a Pool of $SPORE Token -> https://t.co/D12H7uB5pD
Spore has Transfer Tax so that the attacker used the same mechanism with attacks explained on https://t.co/vXkCKPKBIz and https://t.co/SZiss6IC3R)
— Zabu Finance 🔺 (@zabufinance) September 12, 2021
« Le wallet de l’équipe Zabu n’a pas vendu un seul ZABU. Nous avons subi un piratage, probablement émanant de la “pool” Spore. Nous sommes en train d’enquêter, merci de votre aide ».
Les développeurs expliquent que le pirate s’est appuyé sur le mécanisme « Transfert Tax » de Spore. Il a utilisé une faille dans le contrat utilisé par les « yield farms » pour distribuer des récompenses.
Selon la société de cybersécurité PeckShield, « ce bug est déjà apparu de nombreuses fois » dans d’autres protocoles :
The same bug happened many times beforehttps://t.co/atpqppDnAv https://t.co/QeiPk8XQxj
— PeckShield Inc. (@peckshield) September 12, 2021
Un « snapshot » en vue
Zabu Finance, qui se présente comme une station « full-stack » de DeFi sur Avalanche, a expliqué que le pirate est parvenu à interagir avec son contrat pour retirer 4,5 milliards de tokens ZABU. Il les a ensuite placés dans d’autres fermes comme Avalanche Pangolin et Trader Joe, avant de les revendre.
Les équipes de Zabu ont décidé de fixer les récompenses à 0, afin de permettre aux utilisateurs de retirer leurs fonds. Elles comptent désormais prendre un « snapshot » pour rétablir la situation telle qu’elle était avant le piratage, mais souhaitent également offrir une solution à ceux qui ont acheté des tokens après le hack.
Elles prévoient ainsi de :
- distribuer des tokens Zabu « version 2 » en se basant sur le snapshot « pre-hack »
- offrir un protocole de staking pour les tokens « version 1 », achetés après le piratage
In that way, people who lost money pre-hack will get distributed the tokens, and continue to support the protocol if they want.
For the late buyer (post-hack), they can also participate in the Farm V2 by staking what they’ve bought in a Zabu V1 Staking Pool.
— Zabu Finance 🔺 (@zabufinance) September 12, 2021
« De cette manière, les personnes qui ont perdu de l’argent avant le hack recevront des tokens, et elles pourront continuer à soutenir le protocole si elles le souhaitent. Pour les acheteurs post-hack, ils peuvent également participer à la ferme V2 en “stakant” ce qu’ils ont acheté dans la “pool de staking” V1 ».
Le cours du ZABU plonge
Cette attaque a provoqué une chute considérable du cours du ZABU. Lors de la rédaction de cet article, il avait chuté à 0,0000232 dollar, contre 0,004247 dollar avant le piratage, soit un prix divisé par 183.
Zabu Finance vient ainsi s’ajouter à la liste des protocoles qui ont été attaqués ces derniers mois. Comme le rapporte le site DefiYield, un total de 1,46 milliard de dollars a été dérobé dans l’écosystème depuis septembre 2020.
Les principales victimes en date sont Poly Network (602 millions de dollars), Compound Labs (89 millions de dollars) et Venus (77 millions de dollars).