Hack DeFi : le protocole Zabu Finance, adossé à la blockchain Avalanche, se fait subtiliser 3,2 millions de dollars de cryptomonnaies

Le pro­to­cole de finance décen­tra­li­sée (DeFi) Zabu Finance a été pira­té dimanche. Avec l’é­qui­valent de 3,2 mil­lions de dol­lars déro­bés, il s’a­git du pre­mier hack majeur d’un acteur de l’é­co­sys­tème Avalanche.

Dans un tweet publié dans la nuit de dimanche à lun­di, le compte dédié à l’ac­tua­li­té de la finance décen­tra­li­sée Defi­prime révèle que la pla­te­forme Zabu Finance s’est faite sub­ti­li­ser 3,2 mil­lions de dol­lars d’ac­tifs numé­riques. Il s’a­gi­rait de la pre­mière attaque majeure enre­gis­trée par un pro­to­cole ados­sé à Avalanche.

Les équipes de Zabu Finance ont ensuite publié leur propre tweet. Elles y confirment le pira­tage, en expli­quant que les fonds ont été déro­bés à la « pool » du token SPORE :

« Le wal­let de l’é­quipe Zabu n’a pas ven­du un seul ZABU. Nous avons subi un pira­tage, pro­ba­ble­ment éma­nant de la “pool” Spore. Nous sommes en train d’en­quê­ter, mer­ci de votre aide ».

Les déve­lop­peurs expliquent que le pirate s’est appuyé sur le méca­nisme « Trans­fert Tax » de Spore. Il a uti­li­sé une faille dans le contrat uti­li­sé par les « yield farms » pour dis­tri­buer des récompenses.

Selon la socié­té de cyber­sé­cu­ri­té Peck­Shield, « ce bug est déjà appa­ru de nom­breuses fois » dans d’autres protocoles :

Un « snapshot » en vue

Zabu Finance, qui se pré­sente comme une sta­tion « full-stack » de DeFi sur Ava­lanche, a expli­qué que le pirate est par­ve­nu à inter­agir avec son contrat pour reti­rer 4,5 mil­liards de tokens ZABU. Il les a ensuite pla­cés dans d’autres fermes comme Ava­lanche Pan­go­lin et Tra­der Joe, avant de les revendre.

Les équipes de Zabu ont déci­dé de fixer les récom­penses à 0, afin de per­mettre aux uti­li­sa­teurs de reti­rer leurs fonds. Elles comptent désor­mais prendre un « snap­shot » pour réta­blir la situa­tion telle qu’elle était avant le pira­tage, mais sou­haitent éga­le­ment offrir une solu­tion à ceux qui ont ache­té des tokens après le hack.

Elles pré­voient ain­si de :

• dis­tri­buer des tokens Zabu « ver­sion 2 » en se basant sur le snap­shot « pre-hack »
• offrir un pro­to­cole de sta­king pour les tokens « ver­sion 1 », ache­tés après le piratage

« De cette manière, les per­sonnes qui ont per­du de l’argent avant le hack rece­vront des tokens, et elles pour­ront conti­nuer à sou­te­nir le pro­to­cole si elles le sou­haitent. Pour les ache­teurs post-hack, ils peuvent éga­le­ment par­ti­ci­per à la ferme V2 en “sta­kant” ce qu’ils ont ache­té dans la “pool de sta­king” V1 ».

Le cours du ZABU plonge

Cette attaque a pro­vo­qué une chute consi­dé­rable du cours du ZABU. Lors de la rédac­tion de cet article, il avait chu­té à 0,0000232 dol­lar, contre 0,004247 dol­lar avant le pira­tage, soit un prix divi­sé par 183.

Zabu Finance vient ain­si s’a­jou­ter à la liste des pro­to­coles qui ont été atta­qués ces der­niers mois. Comme le rap­porte le site DefiYield, un total de 1,46 mil­liard de dol­lars a été déro­bé dans l’é­co­sys­tème depuis sep­tembre 2020.

Les prin­ci­pales vic­times en date sont Poly Net­work (602 mil­lions de dol­lars), Com­pound Labs (89 mil­lions de dol­lars) et Venus (77 mil­lions de dollars).